MAC Authentication Bypass
Hỗ trợ đầu tiên để hỗ trợ các chính sách không xác thực là để người xác thực hành động thay mặt cho điểm cuối không có người thay thế. Trong trường hợp này, trình xác thực sẽ tạo một thông báo Yêu cầu truy cập RADIUS và gửi nó đến máy chủ xác thực. Trình xác thực sử dụng địa chỉ MAC điểm cuối làm nhận dạng.
Máy chủ xác thực (máy chủ RADIUS) sẽ thực hiện tra cứu xác thực bằng cách sử dụng địa chỉ MAC đó làm thông tin xác thực. Nếu địa chỉ MAC đó nằm trong danh sách các địa chỉ MAC được phép truy cập mạng, thông báo Chấp nhận truy cập RADIUS sẽ được gửi lại từ máy chủ xác thực đến trình xác thực. Quá trình này được gọi là Bỏ qua xác thực MAC (MAB).
Figure 2-38 illustrates the process of MAC Authentication Bypass.
Kiểm tra hình 2-38, có một điểm cuối không xác thực (máy in) có địa chỉ MAC là 00.00.0c.ab.cd.ef. Ngoài ra còn có một công tắc, đó là trình xác thực và máy chủ ISE đóng vai trò là máy chủ xác thực. Hãy xem các bước xảy ra:
Step 1. Because the printer does not have a supplicant, the authenticator crafts a RADIUS Access-Request message using the printer’s MAC address as the identity.
Step 2. The authentication server (ISE) receives the RADIUS Access-Request and performs an identity lookup, which determines if it is a known MAC address or not.
Step 3. The authentication server (ISE) determines if the device should be granted access to the network and, if so, what level of access to provide.
Step 4. The authentication server (ISE) sends the RADIUS response (Access-Accept) to the authenticator, allowing the printer to access the network.
Cũng cần lưu ý rằng trong khi 802.1X là một tiêu chuẩn, MAB thì không. MAB là thứ mà mỗi nhà cung cấp có thể triển khai khác nhau nếu họ chọn, miễn là giao tiếp RADIUS tuân thủ tiêu chuẩn cho RADIUS. Với ISE, cấu hình thiết bị mạng đảm nhiệm việc bình thường hóa các yêu cầu MAB để các chính sách khác nhau không cần phải được tạo cho mỗi lần triển khai của nhà cung cấp
Làm thế nào để một công tắc (trình xác thực) biết khi điểm cuối được cắm vào nó không có thiết bị thay thế? Theo tiêu chuẩn 802.1X, phương pháp này chỉ đơn giản là thời gian chờ. Trình xác thực có nghĩa là gửi EAP qua các khung yêu cầu nhận dạng LAN (EAPoL-id-req) cứ sau 30 giây theo mặc định. Sau ba lần hết thời gian, khoảng thời gian 90 giây theo mặc định, người ta chấp nhận rằng điểm cuối không được có một sự thay thế. Như với hầu hết các tính năng chuyển đổi của Cisco, bộ hẹn giờ có thể điều chỉnh. Hình 2-39 minh họa thời gian chờ xảy ra ba lần trước khi MAB bắt đầu
Hãy nhớ rằng MAB vốn không phải là một công nghệ an toàn. Khi triển khai MAB, bạn đang bỏ qua tính bảo mật mạnh mẽ hơn của 802.1X bằng cách cho phép các địa chỉ MAC cụ thể có quyền truy cập mà không cần xác thực. Địa chỉ MAC dễ bị giả mạo, có nghĩa là dễ dàng định cấu hình điểm cuối để sử dụng địa chỉ MAC khác với địa chỉ được ghi vào phần cứng. Khi sử dụng MAB, luôn tuân theo cách tiếp cận ít đặc quyền và phòng thủ chuyên sâu. Điều này có nghĩa là khi ủy quyền cho một thiết bị truy cập mạng thông qua MAB, điểm cuối chỉ được cấp đủ quyền truy cập để liên lạc với các mạng và dịch vụ mà thiết bị được yêu cầu để nói chuyện, và không có gì khác.
Nói cách khác: don lồng cung cấp quyền truy cập đầy đủ vào các thiết bị đã được MAB thay vào đó, cung cấp cho họ một ủy quyền hạn chế hơn. Vì MAB là xác thực RADIUS tiêu chuẩn và quyết định ủy quyền đang được gửi từ máy chủ xác thực (ISE), nên thực sự không có giới hạn nào đối với loại kết quả ủy quyền có thể được gửi tới trình xác thực, đặc biệt nếu NAD là công tắc của Cisco.
Một số ví dụ bao gồm:
Nếu bạn vẫn chọn thay đổi Vlan trên các mạng mở, thì bạn chỉ có một vài lựa chọn (không có lựa chọn nào được coi là thực tiễn tốt nhất). Bạn có thể đặt thời gian thuê DHCP ở mức thấp, vì vậy nó sẽ gia hạn địa chỉ thường xuyên. Ngoài ra còn có một tùy chọn để sử dụng một applet ActiveX hoặc Java trên một cổng thông tin xác thực web sẽ thực hiện phát hiện thay đổi Vlan thay cho một thay thế.
Hỗ trợ đầu tiên để hỗ trợ các chính sách không xác thực là để người xác thực hành động thay mặt cho điểm cuối không có người thay thế. Trong trường hợp này, trình xác thực sẽ tạo một thông báo Yêu cầu truy cập RADIUS và gửi nó đến máy chủ xác thực. Trình xác thực sử dụng địa chỉ MAC điểm cuối làm nhận dạng.
Máy chủ xác thực (máy chủ RADIUS) sẽ thực hiện tra cứu xác thực bằng cách sử dụng địa chỉ MAC đó làm thông tin xác thực. Nếu địa chỉ MAC đó nằm trong danh sách các địa chỉ MAC được phép truy cập mạng, thông báo Chấp nhận truy cập RADIUS sẽ được gửi lại từ máy chủ xác thực đến trình xác thực. Quá trình này được gọi là Bỏ qua xác thực MAC (MAB).
Figure 2-38 illustrates the process of MAC Authentication Bypass.
Kiểm tra hình 2-38, có một điểm cuối không xác thực (máy in) có địa chỉ MAC là 00.00.0c.ab.cd.ef. Ngoài ra còn có một công tắc, đó là trình xác thực và máy chủ ISE đóng vai trò là máy chủ xác thực. Hãy xem các bước xảy ra:
Step 1. Because the printer does not have a supplicant, the authenticator crafts a RADIUS Access-Request message using the printer’s MAC address as the identity.
Step 2. The authentication server (ISE) receives the RADIUS Access-Request and performs an identity lookup, which determines if it is a known MAC address or not.
Step 3. The authentication server (ISE) determines if the device should be granted access to the network and, if so, what level of access to provide.
Step 4. The authentication server (ISE) sends the RADIUS response (Access-Accept) to the authenticator, allowing the printer to access the network.
Cũng cần lưu ý rằng trong khi 802.1X là một tiêu chuẩn, MAB thì không. MAB là thứ mà mỗi nhà cung cấp có thể triển khai khác nhau nếu họ chọn, miễn là giao tiếp RADIUS tuân thủ tiêu chuẩn cho RADIUS. Với ISE, cấu hình thiết bị mạng đảm nhiệm việc bình thường hóa các yêu cầu MAB để các chính sách khác nhau không cần phải được tạo cho mỗi lần triển khai của nhà cung cấp
Làm thế nào để một công tắc (trình xác thực) biết khi điểm cuối được cắm vào nó không có thiết bị thay thế? Theo tiêu chuẩn 802.1X, phương pháp này chỉ đơn giản là thời gian chờ. Trình xác thực có nghĩa là gửi EAP qua các khung yêu cầu nhận dạng LAN (EAPoL-id-req) cứ sau 30 giây theo mặc định. Sau ba lần hết thời gian, khoảng thời gian 90 giây theo mặc định, người ta chấp nhận rằng điểm cuối không được có một sự thay thế. Như với hầu hết các tính năng chuyển đổi của Cisco, bộ hẹn giờ có thể điều chỉnh. Hình 2-39 minh họa thời gian chờ xảy ra ba lần trước khi MAB bắt đầu
Hãy nhớ rằng MAB vốn không phải là một công nghệ an toàn. Khi triển khai MAB, bạn đang bỏ qua tính bảo mật mạnh mẽ hơn của 802.1X bằng cách cho phép các địa chỉ MAC cụ thể có quyền truy cập mà không cần xác thực. Địa chỉ MAC dễ bị giả mạo, có nghĩa là dễ dàng định cấu hình điểm cuối để sử dụng địa chỉ MAC khác với địa chỉ được ghi vào phần cứng. Khi sử dụng MAB, luôn tuân theo cách tiếp cận ít đặc quyền và phòng thủ chuyên sâu. Điều này có nghĩa là khi ủy quyền cho một thiết bị truy cập mạng thông qua MAB, điểm cuối chỉ được cấp đủ quyền truy cập để liên lạc với các mạng và dịch vụ mà thiết bị được yêu cầu để nói chuyện, và không có gì khác.
Nói cách khác: don lồng cung cấp quyền truy cập đầy đủ vào các thiết bị đã được MAB thay vào đó, cung cấp cho họ một ủy quyền hạn chế hơn. Vì MAB là xác thực RADIUS tiêu chuẩn và quyết định ủy quyền đang được gửi từ máy chủ xác thực (ISE), nên thực sự không có giới hạn nào đối với loại kết quả ủy quyền có thể được gửi tới trình xác thực, đặc biệt nếu NAD là công tắc của Cisco.
Một số ví dụ bao gồm:
- Downloadable ACLs (dACLs)
- Dynamic VLAN assignment (dVLAN)
- URL-redirection Security Group Tag (SGT)
- Smart port macros
Nếu bạn vẫn chọn thay đổi Vlan trên các mạng mở, thì bạn chỉ có một vài lựa chọn (không có lựa chọn nào được coi là thực tiễn tốt nhất). Bạn có thể đặt thời gian thuê DHCP ở mức thấp, vì vậy nó sẽ gia hạn địa chỉ thường xuyên. Ngoài ra còn có một tùy chọn để sử dụng một applet ActiveX hoặc Java trên một cổng thông tin xác thực web sẽ thực hiện phát hiện thay đổi Vlan thay cho một thay thế.