Mọi người tham khảo chuẩn 802.1x dùng trên Cisco.

ĐứcNM

Re: Thảo luận IEEE 802.1X

Những thành phần trong 802.1X

Thiết bị yêu cầu (Supplicant): một thiết bị đầu cuối yêu cầu truy cập đến mạng được bảo vệ bằng 802.1X . Laptop, PDA,… là một số các thiết bị yêu cầu thông dụng. Thiết bị yêu cầu phải hoàn tất trao đổi một cách suôn sẽ với thiết bị xác thực trong EAPOL để được truy cập mạng. Do đó, Supplicant phải chứa giao thức EAPOL, các máy trạng thái của supplicant và tối thiểu một phương pháp xác thực EAP cụ thể mà thiết bị xác thực và máy chủ xác thực hỗ trợ. Nếu phương pháp EAP hỗ trợ nó, Supplicant có thể liên lạc với máy chủ xác thực, tạo “khóa phiên làm việc” sẽ được sử dụng để mã hóa những khóa mã hóa được gởi đến nó.

Thiết bị xác thực (Authenticator): thường được thực hiện trên access point, switch hay router. Thành phần này giao tiếp với Supplicant bằng EAPOL. Liên lạc giữa Authenticator với máy chủ xác thực thường được thực hiện bằng RADIUS. Do đó, Authenticator bao gồm giao thức EAPOL, các máy trạng thái của Authenticator và bất kỳ giao thức nào cần thiết để giao tiếp với máy chủ xác thực, thường là Radius.Từ khi Supplicant yêu cầu đến khi quá trình xác thực thành công, công việc của Authenticator là chuyển các gói EAP giữa Supplicant (EAPOL) và máy chủ xác thực (thường là Radius). Trong khi Authenticator mang tất cả các dữ liệu giữa Supplicant và máy chủ xác thực, nó không biết mật khẩu riêng hay chứng chỉ được sử dụng để tạo khóa phiên làm việc. Sau khi xác thực thành công, Authenticator nhận khóa phiên làm việc từ máy chủ xác thực và phân phồi (hay tạo ra) các khóa mã hóa cho unicast và broadcast.

Máy chủ xác thực: thông thường là máy chủ Radius xác thực người dùng. Nó tạo khóa phiên làm việc để giao tiếp với Supplicant, và sau khi xác thực thành công, phân phối khóa đó đến Authenticator. Miễn là máy chủ RADIUS hỗ trợ mở rộng RFC2869 cho EAP, và phương pháp xác thực EAP được yêu cầu, không cần thêm thành phần nào ở đây để thực hiện 802.1X.

So sánh xác thực trong các phương pháp EAP khác nhauXem xét chi tiết vài giao thức EAP trong thực hiện 802.1x sẽ làm rõ các ưu điểm và yếu điểm của chúng.

Công việc chính cơ bản của xác thực 802.1XBất kể phương pháp EAP nào, tất cả các phiên xác thực 802.1x đều theo cùng cấu trúc chung. Supplicant gởi một gói EAPOL-Start để chỉ rằng nó mong muốn được xác thực. Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùng nào muốn truy cập. Authenticator có thể gởi thông điệp này ngay khi phát hiện Supplicant mà không cần nhận EAPOL-Start. Điều này xảy ra khi port được tích cực, hay khi xác thực và kết hợp lớp 802.11 kết thúc. Supplicant tự giới thiệu nó bằng một trả lời EAP-Response/Identity. Authenticator đặt trả lời vào RADIUS Access-Request gởi đến máy chủ.
Tại thời điểm này, một chuỗi các EAP-Request và EAP-Response tùy thuộc vào giao thức EAP đảm bảo:
- từ máy chủ đến Authenticator bằng Radius
- từ Authenticator đến Supplicant bằng EAPOL
- từ Supplicant đến Authenticator bằng EAPOL
- từ Authenticator đến máy chủ xác thực bằng Radius.
Nếu xác thực thành công, máy chủ Radius phát Access-Accept đến Authenticator, và Authenticator gởi EAP-Success đến Supplicant. Nếu khóa phiên làm việc được tạo ra tùy vào phương pháp EAP, nó thường được phân phối với Access-Accept như một thuộc tính tùy nhà sản xuất Microsoft hay Cisco. Nếu xác thực hỏng, máy chủ xác thực phát một Acees-Reject đến Authenticator, sau đó thành phần này sẽ gởi một EAP-Failure đến Supplicant.

EAP-MD5
Đầu tiên chúng ta hãy xem xét EAP-MD5. Sự đơn giản của nó sẽ giúp mọi người dẽ hiểu hơn quá trình hoạt động như thế nào, mặc dù nó không thích hợp trong hệ thống không dây bởi vì nó không phát khóa phiên làm việc và do đó không an toàn trong việc phân phối các cập nhật khóa.
Challenge-Response đơn giản giống như CHAP và RFC 1994, với MD5 và RFC 1321.
Chú ý: sau khi yêu cầu và trả lời Danh định (Identity) ban đầu, chỉ có một yêu cầu (challenge từ máy chủ xác thực) và một trả lời từ Supplicant trước khi quyết định cho phép truy cập được gởi đến Supplicant.

EAP-TLS
EAP-TLS là lựa chọn của Microsoft hỗ trợ 802.1x trong Windows XP. TLS là một giao thức an toàn đã được kiểm tra kỹ, thường được sử dụng cho các giao dịch dựa trên Web. Nó yêu cầu các chứng nhận và một hạ tầng tương đối mạnh để tạo, triển khai, và kiểm chứng những chứng nhận này. Ở mức tối thiểu, các chứng nhận người dùng phải được cung cấp cho Supplicant để Supplicant có thể chứng tỏ rằng chúng thật sự được xác thực để được truy cập mạng. Các chứng nhận máy chủ cũng có thể được sử dụng để tận dụng xác thực tương hỗ sẵn có, và ngăn ngừa “rogue access point” lừa các Supplicant truy cập vào mạng khác.
Phiên làm việc EAP-TLS phức tạp hơn EAP-MD5, và các chi tiết không trình bày rõ ở đây. Nó bắt đầu như tất cả các giao thức 802.1X EAP khác, sau đó là các thông điệp khởi động và chào hỏi TLS. Các chứng nhận sau đó được trao đổi và kiểm chứng, giải thuật mã hóa được thưng lượng, và cuối cùng truy cập được cấp quyền, với khóa phiên làm việc được gởi đến Authenticator như một thuộc tính MS-MPPE. Trong trường hợp chung, khi khóa phiên làm việc đã có sẵn, các thông điệp khóa EAPOL được phân phát từ Authenticator đến Supplicant. Khóa multicast được tạo ra từ access point từ các số ngẫu nhiên và được mã hóa bởi khóa phiên làm việc. Khóa unicast điển hình là một thông điệp khóa EAPOL không có khóa kèm theo, để chỉ rằng chính khóa phiên làm việc sẽ được sử dụng làm khóa WEP cho các dữ liệu unicast.

Re: Thảo luận IEEE 802.1X

LEAP

LEAP là phương pháp EAP của riêng Cisco. Ký tự “L” trong LEAP có nghĩa tải nhẹ (lightweight). Trong khi cung cấp xác thực tương hỗ và phát khóa phiên làm việc (thích hợp cho wireless), nó không yêu cầu chứng nhận và hạ tầng mạng lớn. Thay vào dó, LEAP xác thực bằng mật khẩu. LEAP là phương pháp xác thực sử dụng challenge và trả lời “đối xứng”. Thiết bị yêu cầu và sau đó máy chủ xác thực phát một challenge và kiểm tra trả lời lẫn nhau. Một khóa phiên làm việc được tạo ra bằng cách kết hợp những challenge này, các trả lời và mật khẩu.
Trong khi LEAP dường như cung cấp tất cả các thuận lợi của việc không sử dụng chứng nhận, nó cũng có những yếu điểm. LEAP là giao thức của Cisco và không được sử dụng rộng rãi. Chuẩn 802.1X định nghĩa máy trạng thái được thiết kế chỉ để chuyển các yêu cầu từ máy chủ xác thực và trả lời từ thiết bị yêu cầu, và kết quả là không thích hợp với sự đối xứng của LEAP. Ngoài ra, Cisco sử dụng thuật ngữ LEAP để áp dụng không chỉ cho phương pháp xác thực EAP, mà còn những thay đổi trong các giá trị xác thực của riêng 802.11b. Do đó, thực hiện LEAP có thể yêu cầu điều khiển thêm đến phần cứng thực hiện 802.11b bên dưới ngoài các phương pháp EAP khác.

EAP-TTLS và EAP

Hai phương pháp xác thực đang nổi lên gần đây kết hợp khả năng an toàn của EAP-TLS và sự đơn giản của LEAP. Cả hai EAP-TTLS (Tunneled TLS) và PEAP (Protected EAP) sử dụng TLS. Nhưng chúng chỉ sử dụng TLS với các chứng chỉ máy chủ để thiết lập một kênh an toàn, và để thiết bị yêu cầu kiểm chứng nó không kết hợp với một rogue access point. Khi các chứng chỉ máy chủ TLS thiết lập “đường hầm”, cả hai EAP-TTLS và PEAP chạy một giải thuật xác thực “bên trong” đường hầm đó. Trong EAP-TTLS, giải thuật bên trong có thể là bất kỳ loại nào: PAP, CHAP,…Trong PEAP, giải thuật bên trong phải là phương pháp EAP. Cả hai phương pháp này đang chờ được chuẩn hóa.

Yếu điểm của 802.1X ?

Tháng 2/2002, một bài báo được xuất bản từ trường Đại học Maryland đề cập đến các yếu điểm của 802.1X. Bài báo này đã gây được nhiều sự chú ý do 802.1X được xem là có thể giải quyết những yếu điểm về an toàn của 802.11b nhưng đã bộc lộ những khuyết điểm của nó. May mắn là những kỹ thuật tấn công mô tả trong bài báo có thể ngăn chặn bằng cách sử dụng 802.1X một cách phù hợp. Các kỹ thuật tấn công được mô tả không cho phép các truy cập không mong muốn đến mạng hay nghe lén các dữ liệu đã được mã hóa. Chúng chỉ cho phép tấn công từ chối dịch vụ DoS và gây nhiễu các truy cập mạng hợp lệ. IEEE 802.11i đang giải quyết nhiều vấn đề để kết hợp 802.11b và 802.1x lại với nhau.


Source: IEEE 802.1X in Secure Wireless Networking - Wind River