Rate this post

Giao thức IEEE 802.1X điều khiển truy cập dựa vào PORT hay Điều khiển truy cập mạng dựa trên cổng IEEE 802.1X được thiết kế để cung cấp quyền truy cập chức năng điều khiển cho mạng LAN. Bảng dưới định nghĩa ngắn gọn các thuật ngữ chính được sử dụng trong IEEE Chuẩn 802.11. Các định nghĩa trong phần này supplicant, network access point, authentication server tương ứng với các từ trong EAP peer, authenticator, anthentication server.

Giới thiệu về IEEE 802.1X

Giao thức IEEE 802.1X, một chuẩn bảo mật mạng quan trọng, được thiết kế để cung cấp một lớp xác thực và kiểm soát truy cập mạnh mẽ cho mạng LAN và WLAN. Ra đời vào đầu những năm 2000, giao thức này nhanh chóng trở thành một tiêu chuẩn quốc tế, được công nhận rộng rãi trong ngành công nghiệp mạng do khả năng cung cấp một giải pháp xác thực mạnh mẽ, dựa trên port-based (căn cứ vào cổng mạng).

Tầm quan trọng của IEEE 802.1X trong việc bảo mật mạng không thể được nhấn mạnh quá mức. Trong thời đại thông tin số, với sự phát triển không ngừng của các mạng không dây và sự gia tăng của các thiết bị kết nối, việc đảm bảo an toàn cho dữ liệu trên mạng trở nên cực kỳ quan trọng. IEEE 802.1X cung cấp một cơ chế xác thực linh hoạt nhưng mạnh mẽ, giúp ngăn chặn quyền truy cập không được phép và bảo vệ mạng khỏi các mối đe dọa nội bộ và ngoại vi.

Giao thức này hoạt động bằng cách sử dụng một framework xác thực mạnh, nơi các thiết bị người dùng (được gọi là supplicants) phải được xác thực trước khi có quyền truy cập vào các dịch vụ mạng. Điều này không chỉ giúp quản lý tốt hơn việc truy cập mạng, mà còn cung cấp một lớp bảo mật quan trọng, ngăn chặn sự xâm nhập từ các nguồn không đáng tin cậy.

Tóm lại, IEEE 802.1X đóng một vai trò quan trọng trong việc duy trì an ninh mạng trong một loạt các môi trường, từ doanh nghiệp đến giáo dục, và tiếp tục được phát triển để đáp ứng nhu cầu bảo mật ngày càng tăng của thế giới hiện đại.

Các thành phần của IEEE 802.1X

  1. Authenticator

Một thực thể ở một đầu của phân đoạn Lan Point-to-point có khả năng xác thực thực thể này với thực thể khác cuối liên kết.

  1. Authentication Exchange

Cuộc trò chuyện giữa hai bên giữa các hệ thống thực hiện quy trình xác thực.

  1. Authentication Process

Các hoạt động mã hóa và khung dữ liệu hỗ trợ thực hiện xác thực.

  1. Authentication Server (AS)

Một thực thể cung cấp dịch vụ xác thực cho một Authenticator. Dịch vụ này xác thực từ thông tin đăng nhập được cung cấp bởi Supplicant.

  1. Authentication Transport

Phiên làm việc tại tầng transport vận chuyển trao đổi xác thực giữa hai hệ thống.

  1. Bridge port

Một port của một bridge IEEE 802.1D hoặc 802.1Q.

  1. Edge Port

Một Bridge port được gắn vào mạng LAN và không có bridge nào khác được gắn vào nó.

  1. Network access port

Một port của một hệ thống với mạng LAN. Nó có thể là một cổng vật lý, chẳng hạn như một MAC LAN duy nhất được gắn vào một đoạn LAN vật lý hoặc một cổng logic, ví dụ, một liên kết IEEE 802.11 giữa một trạm thu phát và một điểm truy cập.

  1. Port access entity (PAE)

Các thực thể giao thức liên kết với một cổng. Nó có thể hỗ trợ chức năng giao thức liên quan đến authenticator, supplicant, hoặc cả hai.

  1. Supplicant

Một thực thể ở một đầu của phân đoạn LAN point-to-point tìm cách được xác thực bởi authenticator gắn vào đầu kia của liên kết đó.

AS(Authentication server) xác thực một supplicant (sử dụng giao thức xác thực), authenticator chuyển các thông điệp điều khiển và xác thực giữa các supplicant  và AS; kênh điều khiển 802.1X không bị chặn, nhưng kênh dữ liệu 802.11 bị chặn. Khi một supplicant được xác thực và các khóa được cung cấp, authenticator có thể chuyển tiếp dữ liệu từ supplicant, tùy thuộc vào quyền truy cập được xác định trước kiểm soát các hạn chế cho supplicant vào mạng. Trong những trường hợp này, kênh dữ liệu được bỏ chặn.

Như được chỉ ra trong hình bên dưới 802.1X sử dụng các khái niệm về kiểm soát và không kiểm soát cổng(port). Các port là các thực thể logic được xác định trong authendicator và kết nối cổng vật lý. Mỗi cổng logic được ánh xạ tới một trong hai loại này của các cổng vật lý. Một cổng không được kiểm soát cho phép trao đổi các đơn vị dữ liệu giao thức (PDU) giữa supplicant và AS, bất kể trạng thái xác thực của supplicant. Một cổng được kiểm soát cho phép trao đổi PDU giữa một supplicant và các hệ thống khác trên mạng chỉ khi trạng thái hiện tại của supplicant được phép trao đổi.

Cơ chế hoạt động của IEEE 802.1X

Giao thức IEEE 802.1X là một phần cốt lõi trong việc quản lý bảo mật và kiểm soát truy cập mạng. Cơ chế hoạt động của nó dựa trên việc xác thực danh tính của các thiết bị trước khi chúng có quyền truy cập vào mạng.

Giải thích cách thức hoạt động của giao thức:

  • Khi một thiết bị (Supplicant) yêu cầu truy cập vào một mạng, nó phải trải qua quá trình xác thực.
  • Giao thức 802.1X sử dụng mô hình EAP (Extensible Authentication Protocol) để truyền thông tin xác thực giữa Supplicant và Authentication Server thông qua một thiết bị Authenticator.
  • Authenticator đóng vai trò như một cổng, kiểm soát truy cập dựa trên thông tin xác thực nhận được từ Authentication Server.

Các thành phần chính của giao thức:

  • Supplicant: Thường là một máy tính hoặc thiết bị di động yêu cầu truy cập vào mạng. Supplicant gửi thông tin xác thực của mình tới Authenticator.
  • Authenticator: Thường là một switch mạng hoặc điểm truy cập không dây. Nó đóng vai trò như một trạm trung gian, chuyển thông tin xác thực từ Supplicant tới Authentication Server.
  • Authentication Server: Thường là một máy chủ RADIUS (Remote Authentication Dial-In User Service). Nó xác minh thông tin xác thực từ Supplicant và thông báo cho Authenticator về việc có cấp quyền truy cập hay không.

Sơ đồ mô hình hoạt động của giao thức:

  • Khi Supplicant kết nối tới mạng, Authenticator tạm thời chặn quyền truy cập đến các tài nguyên mạng khác và yêu cầu thông tin xác thực.
  • Supplicant gửi thông tin xác thực (có thể là tên người dùng và mật khẩu, chứng chỉ số, hoặc một hình thức khác) đến Authenticator.
  • Authenticator chuyển thông tin này đến Authentication Server, nơi thông tin sẽ được kiểm tra và xác thực.
  • Nếu thông tin xác thực được chấp nhận, Authentication Server thông báo cho Authenticator, và Authenticator mở cổng cho phép Supplicant truy cập vào mạng.

Qua cách thức hoạt động này, IEEE 802.1X giúp đảm bảo rằng chỉ những thiết bị được xác thực mới có thể truy cập vào mạng, qua đó tăng cường đáng kể an ninh mạng và giảm thiểu nguy cơ truy cập không được phép.

Giao thức EAPOL

Thành phần thiết yếu được sử dụng trong 802.1X là một giao thức được gọi là EAPOL (EAP qua mạng LAN). EAPOL hoạt động ở các lớp mạng và sử dụng chuẩn IEEE 802 LAN, chẳng hạn như Ethernet hoặc Wi-Fi, ở tầng liên kết. EAPOL cho phép supplicant giao tiếp với một authenticator và hỗ trợ trao đổi các gói EAP cho authentication server.

Khi mà supplicant lần đầu tiên kết nối với mạng LAN, nó không biết địa chỉ MAC của authenticator. Trên thực tế, nó không biết liệu có một authenticator hay không. Bằng cách gửi một gói EAPOL-Start đến một group-multicast dành riêng cho authenticator trong giao thức IEEE 802.1X, supplicant có thể xác định xem authenticator có tồn tại và cho authenticator biết rằng nó đã sẵn sàng.

Trong nhiều trường hợp, authenticator sẽ được thông báo rằng một thiết bị mới đã được kết nối vật lý từ một số thông báo phần cứng. Ví dụ: một hub biết rằng cáp đã được cắm trước đó khi thiết bị gửi bất kỳ dữ liệu nào. Trong trường hợp này, authenticator có thể gởi thông điệp Start. Trong cả hai trường hợp, trình xác thực gửi EAP-Request Identity message được đóng gói trong một gói EAPOL-EAP. EAPOL-EAP là frame EAPOL được sử dụng để vận chuyển các gói EAP.

Authendicator sử dụng gói EAP-Key để gửi các khóa mật mã đến một khi nó đã quyết định chấp nhận supplicant vào mạng. Gói EAP-Logoff được gởi khi supplicant muốn được ngắt kết nối khỏi mạng.

Định dạng gói EAPOL bao gồm các trường sau:

  • Protocol version: phiên bản EAPPOL
  • Packet type:loại packet
  • Packet body length:độ lớn của packet body
  • Packet body:data của packet body

Các loại gói AEPOL được liệt kê trong hình dưới đây.

Lợi ích của giao thức IEEE 802.1X

Giao thức IEEE 802.1X mang lại nhiều lợi ích quan trọng trong việc bảo mật và quản lý mạng, làm cho nó trở thành một chuẩn không thể thiếu trong nhiều môi trường mạng hiện đại.

Bảo mật mạng nâng cao thông qua xác thực:

  • Xác thực Mạnh: IEEE 802.1X sử dụng các phương thức xác thực mạnh mẽ như EAP, RADIUS, hoặc chứng chỉ số, cung cấp một tầng bảo mật đáng tin cậy hơn so với các phương thức truyền thống.
  • Phòng chống Truy cập Không được Phép: Chỉ cho phép các thiết bị đã được xác thực truy cập vào mạng, giúp ngăn chặn các mối đe dọa từ bên trong và bên ngoài.
  • Bảo mật Dữ liệu: Giảm thiểu nguy cơ lộ lọt thông tin do truy cập trái phép, bảo vệ dữ liệu quan trọng của tổ chức.

Kiểm soát truy cập mạng linh hoạt:

  • Quản lý Truy cập Dựa trên Vai trò: Có khả năng cung cấp quyền truy cập khác nhau dựa trên vai trò hoặc nhóm của người dùng, giúp tối ưu hóa cả an ninh và hiệu quả sử dụng mạng.
  • Phản ứng Nhanh với Các Thay đổi: Có khả năng thích ứng nhanh chóng với các thay đổi trong môi trường mạng, như thêm hoặc loại bỏ người dùng và thiết bị.
  • Quản lý Truy cập Dựa trên Chính sách: Cho phép thiết lập các chính sách truy cập mạng mềm dẻo, phù hợp với yêu cầu cụ thể của mỗi tổ chức.

Tương thích với nhiều loại mạng và thiết bị:

  • Hỗ trợ Đa dạng Thiết bị: Tương thích với nhiều loại thiết bị, từ máy tính cá nhân đến thiết bị di động và IoT.
  • Linh hoạt với Các Loại Mạng: Hỗ trợ cả mạng có dây và không dây, cho phép triển khai bảo mật đồng nhất trên toàn bộ cơ sở hạ tầng mạng.
  • Tích hợp với Hệ thống Quản lý Mạng Hiện có: Dễ dàng tích hợp với các hệ thống quản lý mạng hiện có, tạo điều kiện cho việc quản lý mạng trung tâm và hiệu quả.

Nhờ những lợi ích này, IEEE 802.1X không chỉ cung cấp một giải pháp bảo mật mạng mạnh mẽ mà còn đảm bảo sự linh hoạt và tương thích cần thiết để đáp ứng nhu cầu của các môi trường mạng ngày càng phức tạp và đa dạng.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now