Tweet
Xác thực web
Chỉ vì không có cấu hình thay thế trên điểm cuối không có nghĩa là người dùng của điểm cuối đó không cần xác thực. Xem xét các trường hợp sử dụng của khách hoặc khách, hoặc có thể chỉ là cấu hình sai hoặc thông tin hết hạn cho người dùng cuối. Dựa trên người dùng là ai, họ vẫn có thể yêu cầu quyền truy cập mạng và được cấp một số quyền truy cập vào mạng.
Nhập công nghệ được gọi là Xác thực Web, thường được gọi là WebAuth. Trình xác thực sẽ có thể gửi người dùng đến một trang web được lưu trữ cục bộ, nói cách khác, một trang web được lưu trữ trên chính thiết bị cục bộ: bộ chuyển đổi, bộ điều khiển không dây hoặc thậm chí là bộ tập trung tường lửa hoặc VPN. Đó là một điều đơn giản, thực sự, chỉ là một trang web rất cơ bản nơi người dùng có thể gửi tên người dùng và mật khẩu của họ.
Tên người dùng và mật khẩu được gửi tới cổng web sau đó được gửi từ trình xác thực đến máy chủ xác thực trong gói Yêu cầu truy cập RADIUS tiêu chuẩn. Vì vậy, theo cách rất giống với những gì xảy ra với MAB, công tắc đang gửi yêu cầu cho điểm cuối vì điểm cuối không xác thực với công tắc. Hình 2-40 minh họa khái niệm WebAuth.
Thông tin đăng nhập được gửi qua trang WebAuth có thể là thông tin đăng nhập Active Directory của nhân viên. Thông tin đăng nhập có thể là thông tin đăng nhập của khách cho người chỉ tạm thời được phép truy cập Internet và không có quyền truy cập nào khác. Việc sử dụng WebAuth thực sự không giới hạn ở loại này hay loại khác.
Hãy nhớ rằng, WebAuth chỉ là một phương thức xác thực hiệu quả cho một thiết bị tương tác. Nói cách khác, sẽ không có ý nghĩa khi thử và sử dụng WebAuth cho máy in. Không có người dùng để tương tác nhập thông tin đăng nhập của họ và nhấp vào nút gửi.
Như với MAB, WebAuth cũng không phải là một tiêu chuẩn. Có nhiều cách để thực hiện WebAuth, với những lợi ích và nhược điểm cho từng cách.
Xác thực web cục bộ
Xác thực web cục bộ (LWA) là WebAuth gốc. Như được mô tả trong các đoạn trước, trình xác thực chuyển hướng lưu lượng truy cập web (HTTP và / hoặc HTTPS) đến một cổng web được lưu trữ cục bộ nơi người dùng có thể nhập tên người dùng và mật khẩu của họ.
Thông tin đăng nhập được gửi qua cổng web và trình xác thực (bộ chuyển mạch, bộ điều khiển không dây, v.v.) gửi Yêu cầu truy cập RADIUS đến máy chủ xác thực, sử dụng tên người dùng và mật khẩu từ biểu mẫu. Điều quan trọng cần nhớ là bất cứ khi nào chuyển đổi gửi thông tin đăng nhập cho người dùng, nó được coi là Xác thực Web cục bộ.
Lưu trữ cổng xác thực web trên trình xác thực cục bộ thường có thể giới hạn khả năng tùy chỉnh của chính các trang web. Trên thiết bị chuyển mạch của Cisco, các trang hoàn toàn không thể tùy chỉnh. Một số tổ chức không chỉ thích, mà còn yêu cầu các cổng web phải được tùy chỉnh để phù hợp với thương hiệu của công ty. Đối với những công ty đó, LWA truyền thống thường không phải là một giải pháp chấp nhận được, ít nhất là không dành cho WebAuth có dây.
Ngoài ra, khi sử dụng LWA với thiết bị chuyển mạch của Cisco, không có hỗ trợ riêng cho các dịch vụ nâng cao bao gồm các trang chấp nhận chính sách sử dụng (AUP), cung cấp ứng dụng khách, khả năng thay đổi mật khẩu, tự đăng ký hoặc đăng ký thiết bị. Đối với những khả năng nâng cao đó, một công ty cần xem xét sử dụng Xác thực Web tập trung, thảo luận một chút sau.
Các thiết bị chuyển mạch của Cisco, cũng như một loạt các thiết bị chuyển mạch tương thích với 802.1X khác, có tùy chọn cấu hình gán Vlan đặc biệt cho các điểm cuối khi hết giờ xác thực, nghĩa là chúng không có thay thế. Điều này được biết đến như là Vlan khách. Đây là một tùy chọn có sẵn trước khi các máy chủ chính sách mạnh hơn như Cisco ISE tồn tại. Ngày nay vẫn còn nhiều triển khai sản xuất của 802.1X sử dụng Vlan khách này để cung cấp cho khách truy cập có dây vào Internet; tuy nhiên, điều quan trọng cần lưu ý là một khi công tắc đưa ra quyết định cục bộ (chẳng hạn như gán Vlan khách), LWA không còn là một tùy chọn.
Ngoài LWA và Guest Vlan là loại trừ lẫn nhau, còn có một số thông tin thú vị khác về LWA. LWA không hỗ trợ gán Vlan, vì vậy về cơ bản bạn bị giới hạn trong việc gán ACL. LWA cũng bị hạn chế từ hỗ trợ Thay đổi ủy quyền (CoA); do đó, chính sách truy cập không thể được thay đổi dựa trên tư thế hoặc trạng thái định hình hoặc thậm chí thay đổi hành chính do phần mềm độc hại hoặc nhu cầu khác để cách ly điểm cuối.
Xác thực web cục bộ với Cổng thông tin tập trung
Có một tùy chọn với nhiều trình xác thực hiện đại để chuyển hướng Xác thực Web cục bộ sang cổng thông tin web tập trung. Việc sử dụng một cổng thông tin tập trung cho phép tổ chức tùy chỉnh cổng thông tin với thương hiệu công ty và cung cấp giao diện phù hợp cho tổ chức.
Với thiết bị chuyển mạch của Cisco, các trang web được lưu trữ cục bộ có thể chứa chuỗi chuyển hướng gửi lưu lượng truy cập web của người dùng đến cổng được lưu trữ tập trung. Cổng được lưu trữ đó được cấu hình để gửi thông tin đăng nhập vào NAD nguồn thông qua phương thức POST HTTP hoặc được trả về NAD thông qua khung ẩn.
Hình 2-41 minh họa quá trình người dùng nhập thông tin đăng nhập của họ vào cổng thông tin đặt ở trung tâm (trong trường hợp này, nó được lưu trữ trên ISE), trong đó POST đi đến thiết bị mạng, trong khi Hình 242 minh họa Yêu cầu truy cập RADIUS có nguồn gốc từ công tắc, chứa thông tin đăng nhập được gửi trong POST.
Có những ưu và nhược điểm đối với phương thức POST và phương pháp I-frame. Phương pháp I-frame không hoạt động với các trình duyệt gần đây hơn như Internet Explorer 9 và mới hơn. Phương thức POST không hoạt động với một số trình duyệt di động và rất không an toàn vì thông tin đăng nhập của người dùng được truyền từ cổng thông tin trung tâm qua mạng và quay lại trình xác thực. Cổng thông tin web cần có trí thông minh để xác định phương pháp nào sẽ sử dụng với từng loại trình duyệt, bằng cách kiểm tra chuỗi tác nhân người dùng từ trình duyệt.
Bộ điều khiển LAN không dây của Cisco (WLC) phiên bản 7.0 yêu cầu sử dụng phương pháp POST hoặc I-frame để hỗ trợ Xác thực web cục bộ với cổng thông tin tập trung trên ISE. LWA truyền thống sẽ vẫn luôn có sẵn.
Mặc dù cổng thông tin được tập trung, các hạn chế tương tự liên quan đến LWA truyền thống vẫn có hiệu lực. Thay đổi ủy quyền sẽ không hoạt động, cũng như cung cấp máy khách và chức năng nâng cao khác.
Xác thực web tập trung
Xác thực web tập trung (CWA) là những gì mà giải pháp Cisco ISE thường sử dụng gần như độc quyền. Mặc dù Cisco ISE vẫn có khả năng hỗ trợ các phương thức LWA, nhưng các phương thức đó thường được dành riêng cho các thiết bị mạng không phải của Cisco (hoặc triển khai nơi mọi người thích làm mọi thứ một cách khó khăn).
Cũng giống như LWA, CWA chỉ dành cho người dùng tương tác có trình duyệt web, nơi người dùng sẽ nhập tên người dùng và mật khẩu theo cách thủ công, và giống như trước đây, các chức năng WebAuth và Guest Vlan vẫn loại trừ lẫn nhau.
CoA hoạt động hoàn toàn với CWA, điều này dẫn đến sự hỗ trợ cho tất cả các kết quả ủy quyền, chẳng hạn như ủy quyền dACL và Vlan. Hãy ghi nhớ, bất cứ khi nào bạn thay đổi Vlan trên điểm cuối, điểm cuối phải có thể phát hiện thay đổi Vlan và kích hoạt gia hạn địa chỉ IP. Với 802.1X, người thay thế đảm nhiệm việc phát hiện thay đổi Vlan và gia hạn địa chỉ; tuy nhiên, khi sử dụng CWA, thông thường không có sự thay thế nào về điểm cuối. Do đó, cổng thông tin phải sử dụng một applet ActiveX hoặc Java để xử lý việc gia hạn địa chỉ IP sau khi gán Vlan.
CWA cũng hỗ trợ tất cả các dịch vụ nâng cao, như cung cấp cho khách hàng, đánh giá tư thế, chính sách sử dụng được chấp nhận, thay đổi mật khẩu, tự đăng ký và đăng ký thiết bị
Bây giờ bạn đã đọc tất cả những điều mà CWA có thể làm, bạn phải tự hỏi làm thế nào nó hoạt động và điều gì làm cho nó khác với các tùy chọn WebAuth khác. Trình xác thực chỉ nhìn thấy một MAB và phần còn lại được xử lý trên máy chủ xác thực (ISE). Hình 2-43 cho thấy MAB xảy ra khi chuyển hướng đến cổng thông tin tập trung và Hình 2-44 minh họa rằng công tắc vẫn chỉ nhìn thấy yêu cầu MAB trong khi ISE đang duy trì xác thực người dùng.
Các bước sau đây chi tiết những gì đang xảy ra trong Hình 2-43 và 2-44:
Bước 1. Điểm cuối vào mạng không có cấu hình thay thế.
Bước 2. Trình xác thực thực hiện MAB, gửi Yêu cầu truy cập RADIUS đến Cisco ISE (máy chủ xác thực).
Bước 3. Máy chủ xác thực (ISE) gửi kết quả RADIUS bao gồm Chuyển hướng URL đến cổng thông tin tập trung trên chính máy chủ ISE.
Bước 4. Người dùng cuối nhập thông tin đăng nhập của họ vào cổng thông tin tập trung. Không giống như các tùy chọn LWA, thông tin đăng nhập không bao giờ được gửi đến công tắc, mà được lưu trữ trong thư mục phiên ISE và được liên kết với MAB đến từ công tắc.
Bước 5. ISE gửi thay đổi ủy quyền lại (CoA-reauth) cho công tắc. Điều này khiến công tắc gửi yêu cầu MAB mới có cùng ID phiên tới ISE, được xử lý. Bước 6. ISE gửi kết quả ủy quyền cuối cùng tới công tắc cho người dùng cuối.
Chỉ vì không có cấu hình thay thế trên điểm cuối không có nghĩa là người dùng của điểm cuối đó không cần xác thực. Xem xét các trường hợp sử dụng của khách hoặc khách, hoặc có thể chỉ là cấu hình sai hoặc thông tin hết hạn cho người dùng cuối. Dựa trên người dùng là ai, họ vẫn có thể yêu cầu quyền truy cập mạng và được cấp một số quyền truy cập vào mạng.
Nhập công nghệ được gọi là Xác thực Web, thường được gọi là WebAuth. Trình xác thực sẽ có thể gửi người dùng đến một trang web được lưu trữ cục bộ, nói cách khác, một trang web được lưu trữ trên chính thiết bị cục bộ: bộ chuyển đổi, bộ điều khiển không dây hoặc thậm chí là bộ tập trung tường lửa hoặc VPN. Đó là một điều đơn giản, thực sự, chỉ là một trang web rất cơ bản nơi người dùng có thể gửi tên người dùng và mật khẩu của họ.
Tên người dùng và mật khẩu được gửi tới cổng web sau đó được gửi từ trình xác thực đến máy chủ xác thực trong gói Yêu cầu truy cập RADIUS tiêu chuẩn. Vì vậy, theo cách rất giống với những gì xảy ra với MAB, công tắc đang gửi yêu cầu cho điểm cuối vì điểm cuối không xác thực với công tắc. Hình 2-40 minh họa khái niệm WebAuth.
Thông tin đăng nhập được gửi qua trang WebAuth có thể là thông tin đăng nhập Active Directory của nhân viên. Thông tin đăng nhập có thể là thông tin đăng nhập của khách cho người chỉ tạm thời được phép truy cập Internet và không có quyền truy cập nào khác. Việc sử dụng WebAuth thực sự không giới hạn ở loại này hay loại khác.
Hãy nhớ rằng, WebAuth chỉ là một phương thức xác thực hiệu quả cho một thiết bị tương tác. Nói cách khác, sẽ không có ý nghĩa khi thử và sử dụng WebAuth cho máy in. Không có người dùng để tương tác nhập thông tin đăng nhập của họ và nhấp vào nút gửi.
Như với MAB, WebAuth cũng không phải là một tiêu chuẩn. Có nhiều cách để thực hiện WebAuth, với những lợi ích và nhược điểm cho từng cách.
Xác thực web cục bộ
Xác thực web cục bộ (LWA) là WebAuth gốc. Như được mô tả trong các đoạn trước, trình xác thực chuyển hướng lưu lượng truy cập web (HTTP và / hoặc HTTPS) đến một cổng web được lưu trữ cục bộ nơi người dùng có thể nhập tên người dùng và mật khẩu của họ.
Thông tin đăng nhập được gửi qua cổng web và trình xác thực (bộ chuyển mạch, bộ điều khiển không dây, v.v.) gửi Yêu cầu truy cập RADIUS đến máy chủ xác thực, sử dụng tên người dùng và mật khẩu từ biểu mẫu. Điều quan trọng cần nhớ là bất cứ khi nào chuyển đổi gửi thông tin đăng nhập cho người dùng, nó được coi là Xác thực Web cục bộ.
Lưu trữ cổng xác thực web trên trình xác thực cục bộ thường có thể giới hạn khả năng tùy chỉnh của chính các trang web. Trên thiết bị chuyển mạch của Cisco, các trang hoàn toàn không thể tùy chỉnh. Một số tổ chức không chỉ thích, mà còn yêu cầu các cổng web phải được tùy chỉnh để phù hợp với thương hiệu của công ty. Đối với những công ty đó, LWA truyền thống thường không phải là một giải pháp chấp nhận được, ít nhất là không dành cho WebAuth có dây.
Ngoài ra, khi sử dụng LWA với thiết bị chuyển mạch của Cisco, không có hỗ trợ riêng cho các dịch vụ nâng cao bao gồm các trang chấp nhận chính sách sử dụng (AUP), cung cấp ứng dụng khách, khả năng thay đổi mật khẩu, tự đăng ký hoặc đăng ký thiết bị. Đối với những khả năng nâng cao đó, một công ty cần xem xét sử dụng Xác thực Web tập trung, thảo luận một chút sau.
Các thiết bị chuyển mạch của Cisco, cũng như một loạt các thiết bị chuyển mạch tương thích với 802.1X khác, có tùy chọn cấu hình gán Vlan đặc biệt cho các điểm cuối khi hết giờ xác thực, nghĩa là chúng không có thay thế. Điều này được biết đến như là Vlan khách. Đây là một tùy chọn có sẵn trước khi các máy chủ chính sách mạnh hơn như Cisco ISE tồn tại. Ngày nay vẫn còn nhiều triển khai sản xuất của 802.1X sử dụng Vlan khách này để cung cấp cho khách truy cập có dây vào Internet; tuy nhiên, điều quan trọng cần lưu ý là một khi công tắc đưa ra quyết định cục bộ (chẳng hạn như gán Vlan khách), LWA không còn là một tùy chọn.
Ngoài LWA và Guest Vlan là loại trừ lẫn nhau, còn có một số thông tin thú vị khác về LWA. LWA không hỗ trợ gán Vlan, vì vậy về cơ bản bạn bị giới hạn trong việc gán ACL. LWA cũng bị hạn chế từ hỗ trợ Thay đổi ủy quyền (CoA); do đó, chính sách truy cập không thể được thay đổi dựa trên tư thế hoặc trạng thái định hình hoặc thậm chí thay đổi hành chính do phần mềm độc hại hoặc nhu cầu khác để cách ly điểm cuối.
Xác thực web cục bộ với Cổng thông tin tập trung
Có một tùy chọn với nhiều trình xác thực hiện đại để chuyển hướng Xác thực Web cục bộ sang cổng thông tin web tập trung. Việc sử dụng một cổng thông tin tập trung cho phép tổ chức tùy chỉnh cổng thông tin với thương hiệu công ty và cung cấp giao diện phù hợp cho tổ chức.
Với thiết bị chuyển mạch của Cisco, các trang web được lưu trữ cục bộ có thể chứa chuỗi chuyển hướng gửi lưu lượng truy cập web của người dùng đến cổng được lưu trữ tập trung. Cổng được lưu trữ đó được cấu hình để gửi thông tin đăng nhập vào NAD nguồn thông qua phương thức POST HTTP hoặc được trả về NAD thông qua khung ẩn.
Hình 2-41 minh họa quá trình người dùng nhập thông tin đăng nhập của họ vào cổng thông tin đặt ở trung tâm (trong trường hợp này, nó được lưu trữ trên ISE), trong đó POST đi đến thiết bị mạng, trong khi Hình 242 minh họa Yêu cầu truy cập RADIUS có nguồn gốc từ công tắc, chứa thông tin đăng nhập được gửi trong POST.
Có những ưu và nhược điểm đối với phương thức POST và phương pháp I-frame. Phương pháp I-frame không hoạt động với các trình duyệt gần đây hơn như Internet Explorer 9 và mới hơn. Phương thức POST không hoạt động với một số trình duyệt di động và rất không an toàn vì thông tin đăng nhập của người dùng được truyền từ cổng thông tin trung tâm qua mạng và quay lại trình xác thực. Cổng thông tin web cần có trí thông minh để xác định phương pháp nào sẽ sử dụng với từng loại trình duyệt, bằng cách kiểm tra chuỗi tác nhân người dùng từ trình duyệt.
Bộ điều khiển LAN không dây của Cisco (WLC) phiên bản 7.0 yêu cầu sử dụng phương pháp POST hoặc I-frame để hỗ trợ Xác thực web cục bộ với cổng thông tin tập trung trên ISE. LWA truyền thống sẽ vẫn luôn có sẵn.
Mặc dù cổng thông tin được tập trung, các hạn chế tương tự liên quan đến LWA truyền thống vẫn có hiệu lực. Thay đổi ủy quyền sẽ không hoạt động, cũng như cung cấp máy khách và chức năng nâng cao khác.
Xác thực web tập trung
Xác thực web tập trung (CWA) là những gì mà giải pháp Cisco ISE thường sử dụng gần như độc quyền. Mặc dù Cisco ISE vẫn có khả năng hỗ trợ các phương thức LWA, nhưng các phương thức đó thường được dành riêng cho các thiết bị mạng không phải của Cisco (hoặc triển khai nơi mọi người thích làm mọi thứ một cách khó khăn).
Cũng giống như LWA, CWA chỉ dành cho người dùng tương tác có trình duyệt web, nơi người dùng sẽ nhập tên người dùng và mật khẩu theo cách thủ công, và giống như trước đây, các chức năng WebAuth và Guest Vlan vẫn loại trừ lẫn nhau.
CoA hoạt động hoàn toàn với CWA, điều này dẫn đến sự hỗ trợ cho tất cả các kết quả ủy quyền, chẳng hạn như ủy quyền dACL và Vlan. Hãy ghi nhớ, bất cứ khi nào bạn thay đổi Vlan trên điểm cuối, điểm cuối phải có thể phát hiện thay đổi Vlan và kích hoạt gia hạn địa chỉ IP. Với 802.1X, người thay thế đảm nhiệm việc phát hiện thay đổi Vlan và gia hạn địa chỉ; tuy nhiên, khi sử dụng CWA, thông thường không có sự thay thế nào về điểm cuối. Do đó, cổng thông tin phải sử dụng một applet ActiveX hoặc Java để xử lý việc gia hạn địa chỉ IP sau khi gán Vlan.
CWA cũng hỗ trợ tất cả các dịch vụ nâng cao, như cung cấp cho khách hàng, đánh giá tư thế, chính sách sử dụng được chấp nhận, thay đổi mật khẩu, tự đăng ký và đăng ký thiết bị
Bây giờ bạn đã đọc tất cả những điều mà CWA có thể làm, bạn phải tự hỏi làm thế nào nó hoạt động và điều gì làm cho nó khác với các tùy chọn WebAuth khác. Trình xác thực chỉ nhìn thấy một MAB và phần còn lại được xử lý trên máy chủ xác thực (ISE). Hình 2-43 cho thấy MAB xảy ra khi chuyển hướng đến cổng thông tin tập trung và Hình 2-44 minh họa rằng công tắc vẫn chỉ nhìn thấy yêu cầu MAB trong khi ISE đang duy trì xác thực người dùng.
Các bước sau đây chi tiết những gì đang xảy ra trong Hình 2-43 và 2-44:
Bước 1. Điểm cuối vào mạng không có cấu hình thay thế.
Bước 2. Trình xác thực thực hiện MAB, gửi Yêu cầu truy cập RADIUS đến Cisco ISE (máy chủ xác thực).
Bước 3. Máy chủ xác thực (ISE) gửi kết quả RADIUS bao gồm Chuyển hướng URL đến cổng thông tin tập trung trên chính máy chủ ISE.
Bước 4. Người dùng cuối nhập thông tin đăng nhập của họ vào cổng thông tin tập trung. Không giống như các tùy chọn LWA, thông tin đăng nhập không bao giờ được gửi đến công tắc, mà được lưu trữ trong thư mục phiên ISE và được liên kết với MAB đến từ công tắc.
Bước 5. ISE gửi thay đổi ủy quyền lại (CoA-reauth) cho công tắc. Điều này khiến công tắc gửi yêu cầu MAB mới có cùng ID phiên tới ISE, được xử lý. Bước 6. ISE gửi kết quả ủy quyền cuối cùng tới công tắc cho người dùng cuối.