Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giao thức 802.1X trên Cisco ISE (Phần 2)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giao thức 802.1X trên Cisco ISE (Phần 2)

    Các loại EAP
    Có nhiều loại EAP khác nhau, mỗi loại đều có lợi ích và nhược điểm riêng. Kiểu EAP xác định cơ chế xác thực sẽ được sử dụng với EAP, thường hiển nhiên trong tên của nó. Hầu hết nhiều loại EAP sẽ không được thảo luận trong cuốn sách này do thiếu sự chấp nhận hoặc thiếu sự bao gồm trong kế hoạch thi, chẳng hạn như EAP-Kerberos.
    Các loại EAP có thể được chia thành hai loại: loại EAP gốc và loại EAP có đường hầm.
    Các loại EAP bản địa
    Các loại EAP bản địa cũng có thể được coi là EAP thuần túy, trong đó giao tiếp diễn ra chính xác như dự định trong EAP. Hình 2-35 thể hiện các giao tiếp EAP riêng, được mô tả trong danh sách sau đây.

    • EAP-MD5: Sử dụng thuật toán phân loại thông điệp MD5 để ẩn thông tin đăng nhập trong hàm băm. Băm được gửi đến máy chủ, nơi nó được so sánh với hàm băm cục bộ để xem thông tin đăng nhập có chính xác không. Tuy nhiên, EAP-MD5 không có cơ chế xác thực lẫn nhau. Điều đó có nghĩa là máy chủ xác nhận ứng dụng khách nhưng máy khách không xác thực máy chủ (nghĩa là, nó không kiểm tra xem có nên tin tưởng máy chủ hay không). EAP-MD5 phổ biến trên Điện thoại IP của Cisco và cũng có thể một số thiết bị chuyển mạch sẽ gửi yêu cầu MAB bằng EAP-MD5.
    • EAP-TLS: Loại EAP sử dụng TLS để cung cấp giao dịch nhận dạng an toàn. Điều này rất giống với SSL và cách mã hóa được hình thành giữa trình duyệt web của bạn và một trang web an toàn. EAP-TLS có lợi ích là một tiêu chuẩn IETF mở và được coi là hỗ trợ phổ biến trên toàn thế giới.
    EAP-TLS sử dụng chứng chỉ X.509 và cung cấp khả năng hỗ trợ xác thực lẫn nhau, trong đó máy khách phải tin tưởng chứng chỉ máy chủ và ngược lại. Nó được xem là một trong những loại EAP an toàn nhất vì chụp mật khẩu không phải là một tùy chọn; điểm cuối vẫn phải có khóa riêng.


    người dùng và mật khẩu đơn giản, hoặc thậm chí tên máy tính và mật khẩu máy tính, đến máy chủ RADIUS, từ đó sẽ xác thực chúng vào Active Directory.
    • EAP-GTC: Thẻ mã thông báo EAP-Generic (GTC) được Cisco tạo ra như một giải pháp thay thế cho MSCHAPv2 để cho phép xác thực chung cho hầu như bất kỳ cửa hàng nhận dạng nào, bao gồm máy chủ mã thông báo OTP, LDAP, NetIQ eDirectory (trước đây là Novell), v.v.



    Các loại EAP có đường hầm
    Loại EAP được tạo đường hầm chỉ đơn giản là sử dụng loại EAP không được tạo đường hầm bên trong đường hầm TLS (Transport Layer Security) giữa người thay thế và người xác thực. Trong khi các loại EAP bản địa gửi thông tin đăng nhập của họ ngay lập tức, các loại EAP được tạo đường hầm tạo thành một đường hầm được mã hóa trước và sau đó truyền thông tin đăng nhập với EAP gốc trong đường hầm đó. Hình 2-36 thể hiện giao tiếp EAP không bản địa, được tạo đường hầm, được mô tả trong danh sách sau đây.



    • PEAP: EAP được bảo vệ. Ban đầu được đề xuất bởi Microsoft, loại đường hầm EAP này đã nhanh chóng trở thành phương pháp EAP phổ biến và được triển khai rộng rãi nhất trên thế giới. PEAP sẽ hình thành một đường hầm TLS có khả năng được mã hóa giữa máy khách và máy chủ, sử dụng chứng chỉ X.509 trên máy chủ giống như cách đường hầm SSL được thiết lập giữa trình duyệt web và trang web an toàn. Sau khi đường hầm đã được hình thành, PEAP sử dụng một trong các loại EAP sau đây làm phương thức bên trong của cơ sở giáo dục Thay đổi xác thực ứng dụng khách sử dụng EAP trong đường hầm bên ngoài.
    • EAP-MSCHAPv2: Sử dụng phương thức bên trong này, thông tin đăng nhập của máy khách được gửi đến máy chủ được mã hóa trong phiên MSCHAPv2. Đây là phương thức bên trong phổ biến nhất, vì nó cho phép truyền tên người dùng và mật khẩu đơn giản, hoặc thậm chí tên máy tính và mật khẩu máy tính, đến máy chủ RADIUS, từ đó sẽ xác thực chúng vào Active Directory.
    • EAP-GTC: Như đã mô tả trước đây, phương pháp bên trong này được Cisco tạo ra như là một thay thế cho MSCHAPv2 để cho phép xác thực chung cho hầu như bất kỳ cửa hàng nhận dạng nào, bao gồm máy chủ mã thông báo OTP, LDAP, NetIQ eDirectory, v.v.
    • EAP-TLS: Mặc dù hiếm khi được sử dụng và không được biết đến rộng rãi, PEAP có khả năng sử dụng EAPTLS như một phương pháp bên trong.
    • EAP-FAST: Xác thực linh hoạt thông qua đường hầm an toàn (FAST) rất giống với PEAP. FAST được tạo ra bởi Cisco Systems như một giải pháp thay thế cho PEAP để cho phép xác nhận lại nhanh hơn và hỗ trợ chuyển vùng không dây nhanh hơn. Giống như PEAP, FAST tạo thành một đường hầm bên ngoài TLS và sau đó truyền thông tin đăng nhập của khách hàng trong đường hầm TLS đó. Trong đó FAST khác với PEAP là khả năng sử dụng Thông tin truy cập được bảo vệ (PAC). Một PAC có thể được coi là giống như một cookie cookie an toàn, được lưu trữ cục bộ trên máy chủ với tư cách là một bằng chứng xác thực thành công.
    • EAP-MSCHAPv2: Sử dụng phương thức bên trong này, thông tin đăng nhập của máy khách được gửi đến máy chủ được mã hóa trong phiên MSCHAPv2. Đây là phương thức bên trong phổ biến nhất, vì nó cho phép truyền tên người dùng và mật khẩu đơn giản, hoặc thậm chí tên máy tính và mật khẩu máy tính, đến máy chủ RADIUS, từ đó sẽ xác thực chúng vào Active Directory.
    • EAP-GTC: Phương pháp bên trong này được Cisco tạo ra như một giải pháp thay thế cho MSCHAPv2 để cho phép xác thực chung cho hầu hết mọi cửa hàng nhận dạng, bao gồm máy chủ mã thông báo OTP, LDAP, NetIQ eDirectory, v.v.
    • EAP-TLS: EAP-FAST is capable of using EAP-TLS as an inner method. This has become quite popular with EAP-Chaining.
    Với các loại EAP được tạo đường hầm, có một khái niệm về danh tính bên trong và bên ngoài. Bản sắc bên trong là dễ giải thích nhất. Đó là thông tin nhận dạng thực tế của người dùng hoặc thiết bị được gửi với giao thức EAP gốc. Danh tính bên ngoài thường được đặt thành ẩn danh. Nó cũng nhận dạng được sử dụng giữa máy chủ thay thế và máy chủ xác thực cho thiết lập đường hầm TLS ban đầu.
    Cisco ISE có thể đọc danh tính bên ngoài đó và sử dụng nó để giúp đưa ra quyết định lựa chọn cửa hàng nhận dạng. Nói một cách đơn giản, danh tính bên ngoài đó có thể chứa thông tin (chẳng hạn như tên miền) yêu cầu Cisco ISE gửi thông tin đăng nhập đến Active Directory hoặc LDAP hoặc một số cửa hàng nhận dạng khác. Hầu hết các chất thay thế sẽ ẩn tùy chọn này khỏi người dùng cuối và chỉ quản trị viên mới nhìn thấy danh tính bên ngoài; tuy nhiên, một chất thay thế tiếp xúc với người dùng cuối là chất thay thế Android gốc, như trong Hình 237. Một điểm hài hước của tác giả này là chất thay thế Android đề cập đến danh tính bên ngoài là nhận dạng ẩn danh, đó là một oxymoron.


    Tóm tắt các loại xác thực EAP







    Last edited by Tín Phan; 12-03-2020, 09:49 PM.
Working...
X