Những người thiết kế và quản trị mạng cần biết tiêu chuẩn này đang được triển khai trong thực tế và đồng thời qua bài viết, tác giả mong muốn mang đến cho độc giả một sự hiểu biết cơ[r]
(1)BẢO MẬT MẠNG LOCAL AREA NETWORK
DỰA TRÊN TIÊU CHUẨN 802.1X
Tóm tắt
Ngày ứng dụng, dịch vụ hệ thống mạng gia tăng với nhiều phức tạp rủi ro cho người quản trị hệ thống mạng Do đó, cần thực hiện, triển khai biện pháp bảo mật tốt hơn, tiêu chuẩn 802.1X mà viết muốn giới thiệu, tiêu chuẩn chứng thực người dùng để giải vấn đề bảo mật sở hạ tầng mạng LAN WLAN (Wireless LAN) Tiêu chuẩn 802.1X định nghĩa IEEE, hỗ trợ việc điều khiển truy cập phương tiện truyền dẫn, khả cho phép hay cấm sự kết nối mạng, điều khiển truy cập VLAN triển khai sách lưu lượng truyền dựa nhận dạng tài khoản người dùng xác định thiết bị Chuẩn 802.1X thực theo giao thức chứng thực EAP (Extensible Authentication Protocol) định dạng theo khung Ethernet mạng LAN với tên gọi EAPOL (Extensible Authentication Protocol Over LAN) đồng thời hỗ trợ nhiều phương pháp chứng thực khác PPP, MD5, TLS, CHAP RADIUS triển khai hệ thống mạng LAN cả WLAN Bài viết trình bày chi tiết tiêu chuẩn 802.1X, EAP EAPOL để cung cấp thêm kiến thức giải quyết vấn đề bảo mật cho việc thiết kế triển khai hệ thống mạng.
Từ khóa: tiêu chuẩn 802.1x, EAP, EAPoL, giao thức chứng thực mở rộng, gia tăng bảo mật mạng LAN với tiêu chuẩn 802.1x.
Abstract
Today, the increasing of applications and services on the network system has brought network admin-istrators plenty of difficulties and risks Therefore, the designing network security should be effectively implemented by network administrators One of security standards is 802.1X which is a user authentica-tion standard to address security issues on LAN and WLAN (Wireless LAN) infrastructure.The 802.1X standard, is defined by IEEE, supports access control for transmission medium, the ability to allow or prohibit network connection, VLAN access control and implementation of transmission policies based on identity user accounts or devices determined The 802.1X standard is done by Extensible Authentica-tion Protocol (EAP) and has the Ethernet frame format on the LAN called Extensible AuthenticaAuthentica-tion Protocol Over LAN (EAPOL), and supports various authentication methods such as PPP, MD5, TLS , CHAP and RADIUS which can be deployed on a LAN system, even WLAN The paper will discuss in detail about the 802.1X standard, EAP and EAPOL to provide more knowledge to solve security issues for the design and implementation of a network system.
Keywords: The standard 802.1x, EAP, EAPOL, Extensible Authentication Protocol, The enhanced security of LAN with 802.1x standard.
Nguyễn Bá Nhiệm *
1 Giới thiệu 802.1X, EAP EAPOL
IEEE 802.1X chuẩn điều khiển truy cập mạng dựa cổng (port), nghĩa chứng thực tầng mô hình OSI Nó triển khai cổng mạng Ethernet (IEEE 802) Phần lớn việc triển khai truy cập mạng dựa cổng truy cập đến mạng không dây (WLAN) truy cập mạng có dây (LAN) dựa nhóm thiết bị Switch Mặc nhiên cổng trạng thái “đóng”, nghĩa truy cập không cho phép luồng liệu ngang qua, kết nối vật lý thiết lập Sau người dùng (user) thiết bị truy cập yêu cầu
chứng thực thân nó, trạng thái cổng thay đổi “mở”, nghĩa luồng liệu thông thường phép ngang qua cổng IEEE 802.1X hạn chế máy trạm (clients) không xác thực kết nối đến hạ tầng mạng LAN WLAN dùng điều khiển truy cập dựa máy chủ (Server) máy trạm với giao thức chứng thực
(2)5
- Client Supplicant: Thiết bị cần truy cập hay
yêu cầu truy cập hạ tầng mạng LAN/WLAN dịch vụ thiết bị thuộc tầng Các thiết bị hỗ trợ phần mềm 802.1X phục vụ cho máy trạm để trả lời yêu cầu từ thiết bị thuộc tầng
- Authenticator: Nhiệm vụ thiết bị
chuyển tiếp thông tin máy chủ chứng thực máy trạm (Supplicant) Authenticator thiết bị mạng thuộc tầng hoạt động điểm trung gian proxy máy trạm máy chủ chứng thực thực yêu cầu xác nhận thông tin từ máy trạm, kiểm tra thơng tin với máy chủ
Authenticator Client/Supplicant
Workstation
Switch
Laptop
Access Point
Authentication Server
chứng thực thực hồi đáp lại máy chủ chứng thực đến máy trạm
- Authentication Server: Thiết bị đảm nhận việc
thực chứng thực cho phép Authenticator phục vụ hay từ chối phục vụ cho máy trạm Máy chủ chứng thực phê chuẩn thông tin nhận dạng máy trạm thông báo cho thiết bị mạng thuộc tầng hoạt động Authenticator chuyển tiếp thông tin đến máy trạm
Trong Hình đưa mơ hình mạng dựa kết nối khác
Máy trạm với
cổng truy cập (PAE) Các dcủịa hch vệụ th phống ục vụ Authenticator
Máy chủ chứng thực Authenticator với
PAE
Hệ thống máy trạm
Cổng không
được phép truy cập dịch vụ
Hạ tầng mạng LAN/WLAN
Hệ thống chứng thực chHủệ th chốứng máy ng thực
Truyền giao thức EAP
được chuyển tiếp giao thức tầng
cao Cổng
điều khiển
Server Switch
PC
802.1X RADIUS AAA
Hình Sự kết nối triển khai thiết bị sử dụng chuẩn 802.1X
Các thành phần Hình cung cấp khái niệm chung kiến trúc chuẩn 802.1X đưa Supplicant, Authenticator, Authentication Server mạng LAN
WLAN dùng chuẩn 802.1X yêu cầu cổng Authenticator cổng điều khiển cho phép hay không cho phép luồng liệu qua
(3)PAE (Port Access Entity) trình bày Hình dùng cho thiết bị mạng thực thuật toán chuẩn 802.1X hoạt động giao thức Một cổng điểm độc lập kết nối đến sở hạ tầng mạng LAN Trong trường hợp mạng LAN, Switch quản lý cổng logic Mỗi cổng logic giao tiếp với cổng máy trạm
RADIUS (remote access dial in user service) chuẩn cung cấp dịch vụ Authentication, Au-thorization, Accounting (AAA) cho hệ thống mạng Mặc dù giao thức RADIUS hỗ trợ tùy chọn IEEE 802.1X Nhiều Authenticator sử dụng chuẩn 802.1X đóng vai trị máy trạm RADIUS
EAP (Extensible Authentication Protocol) giao thức sử dụng kiểm tra thơng tin chứng thực máy trạm máy chủ chứng thực
IEEE 802.1X định nghĩa đóng khung EAP dựa IEEE 802 biết đến EAP sử dụng mạng LAN (EAP over LANs hay EAPOL) EAPOL thiết kế cho mạng Ethernet phát triển thêm để phù hợp cho việc triển khai mơ hình mạng khác mạng Wireless, mạng FDDI (Fiber Distribution Data Interface)
EAP giao thức chứng thực, định bắt buộc chứng thực hệ thống, cịn cung cấp vài chức chung lựa chọn phương pháp chứng thực gọi phương pháp EAP (EAP methods) Các phương pháp EAP hỗ trợ nhiều loại chứng thực khác thẻ (token card), chứng nhận (certificates), mật (pass-words) chứng thực khóa cơng cộng (public key authentication)
Bài viết trình bày hai giao thức EAP EAPOL để hiểu tốt chúng trước triển khai chúng hệ thống mạng thực tế
2 Giao thức chứng thực mở rộng (Extensible Authentication Protocol -EAP)
EAP tảng chứng thực cho thiết bị hệ thống mạng mà hỗ trợ nhiều phương pháp chứng thực Về bản, EAP cho phép hai thực thể hệ thống mạng trao đổi thông tin định phương pháp chứng thực, thực thể muốn sử dụng Nội dung chứng thực định phương pháp không định nghĩa EAP
Đây giao thức đem lại nhiều thuận lợi đưa kiến trúc EAP mang tính chất mềm dẻo Authenticator khơng cần cập nhật để hỗ trợ
các phương pháp chứng thực khác hay phương pháp chứng thực máy trạm (client/supplicant) máy chủ chứng thực thực vài hay tất phương pháp chứng thực
Ngày nay, có nhiều phương pháp chứng thực phương pháp chứng thực sử dụng thực tế, số phương pháp định nghĩa IETF RFCs EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS phương pháp khác nhà sản xuất thiết bị định PEAP, LEAP, EAP-TTLS
EAP định bốn thông điệp truyền mạng:
- Request (0x01): Được dùng để gửi
thông điệp từ Authenticator đến máy trạm (Sup-plicant)
- Response (0x02): Được dùng để gửi
thông điệp từ máy trạm đến Authenticator
- Success (0x03): Được gửi
Authentica-tor định truy cập chấp thuận
- Failure (0x04): Được gửi Authenticator
chỉ định truy cập bị từ chối
Hình minh họa định dạng thông điệp EAP liệt kê, mơ tả thành phần thơng điệp
Hình Định dạng thông điệp EAP
- Code: Trường Code chiếm byte
loại thông điệp (Request, Response, Success, Failure)
- Identifier: Trường Identifier chiếm
byte chứa đựng số nguyên dương dùng để kiểm tra trùng khớp thông điệp request với thông điệp response Mỗi thông điệp request sử dụng số identifier
- Length: Hai byte cho trường Length
tổng số byte tồn gói tin (packet)
- Data: Giá trị biến Length (bao gồm
byte 0) trường Data định nghĩa cách làm để trường Data thông dịch liệu
Định dạng thông điệp EAP trình bày Hình sử dụng để gửi
(4)7
Code Identifier Length Type Request/Response Data
- EAP request - EAP response - EAP success - EAP failure
Thêm trường giới thiệu trường Type thể Hình Trường dùng byte để định nghĩa loại thông điệp EAP request EAP response Chỉ trường Type sử dụng gói tin Type hồi đáp trùng khớp với yêu cầu
Hình Thơng điệp Request/Response EAP
Các thơng điệp EAP Success EAP Failure thể trường Data byte cấu trúc trì Hình Trước bắt đầu thực hiện, thông điệp EAP Request EAP Response chia nhỏ dùng trường EAP Type Có vài loại EAP chung sau đây:
- Identity (1) - Notification (2) - NAK (3)
- MD5-Challenge (4)
- One-Time Password (OTP) (5) - Generic Token Card (6) - LEAP (17)
- EAP-TTLS (21) - PEAP (25) - EAP-FAST (43)
Phần quan trọng định nghĩa trước trường Type Identity (Type = 1) điều sử dụng phần việc phân tích thơng điệp EAP:
- EAP-Request/Identity (Code = 1, Type = 1):
gửi Authenticator đến Supplicant
- EAP-Response/Identity (Code = 2, Type =
1): hồi đáp đến EAP-Resquest/Identity, Supplicant phản hồi với thông điệp chứa đựng tài khoản người dùng (username) vài thông tin xác nhận khác mà hiểu máy chủ chứng thực
Để tìm hiểu chi tiết loại EAP khác, vui lòng tham khảo tài liệu EAP RFC (RFC 2284)
Ethernet MAC Header
Protocol
Version Packet Type Paket Body
Length Packet Body
3 Giao thức chứng thực mở rộng cho mạng LAN (Extensible Authentication Protocol Over LAN - EAPOL)
EAP RFC không rõ làm thông điệp trao đổi với Vậy để trao đổi thơng điệp EAP, cần tìm hiểu cách trao đổi định dạng chúng Để giải thích vấn đề này, IEEE 802.1X định nghĩa giao thức gọi EAPOL (EAP over LAN) để giúp hiểu thông điệp EAP trao đổi máy trạm (Sup-plicant) Authenticator EAPOL thiết kế trước tiên cho Ethernet mở rộng phù hợp cho chuẩn mạng khác
Hình mơ tả định dạng khung EAPOL
Hình Định dạng khung EAPOL
Có năm loại thông điệp EAPOL sau:
- EAP-Packet (0): chứa đựng khung EAP
định dạng
- EAP-Start (1): Một máy trạm (Supplicant)
có thể gửi khung EAP-Start thay chờ đợi thách thức từ Authenticator (EAP-Packet [EAP-Identity/Resquest])
- EAP-Logoff (2): Dùng để trả trạng thái
của cổng không phép truy cập máy trạm kết thúc sử dụng mạng
- EAP-Key (3): Dùng trao đổi thơng tin khóa
bảo mật
- EAP-Encapsulatated-ASF-Alert (4):
Cung cấp phương pháp cho phép ASF (Alert Standards Forum) ý chuyển tiếp qua cổng mà trạng thái không phép truy cập
4 Sự trao đổi thông điệp 802.1X
(5)Hình mơ tả đặc tính trao đổi thơng điệp EAPOL/802.1X
Mơ tả q trình hoạt động 802.1X sau:
- Bước 1: Authenticator gửi thông điệp nhận
dạng EAP-Request đến Supplicant để hỏi nhận dạng Supplicant Supplicant bắt đầu q trình u cầu cách gửi thông điệp EAPOL-Start
- Bước 2: Nếu Supplicant gửi thông điệp
EAP-Start, Authenticator yêu cầu nhận dạng Sup-plicant cách gửi thông điệp EAP-Request/ Identity
- Bước 3: Trong hồi đáp lại, máy trạm gửi
thơng tin khung EAP-Response/Identi-ty Authenticator giải mã thông tin từ khung EAPOL chuyển thông tin EAP khung đến máy chủ chứng thực giao thức RADIUS RADIUS- Access- Request
- Bước 4: Máy chủ RADIUS thương lượng với
Supplicant cách gửi RADIUS-Access-Chal-lenge đến Authenticator, Authenticator đóng gói thơng tin EAP khung EAPOL chuyển đến Supplicant EAP-Request
- Bước 5: Sự hồi đáp EAP-Request, Supplicant
gửi lại EAP-Response đến Authenticator,
Authenticator giải mã thông tin EAP gửi đến máy chủ chứng thực RADIUS-Access- Resquest
- Bước 6: Có vài trao đổi
EAP-Re-sponse/ RADIUS-Access-Request RADIUS- Access-Challenge/ EAP-Request trước kết thúc máy chủ RADIUS gửi RADIUS-Access- Accept có nghĩa người dùng chứng thực Khi hồi đáp nhận Authentica-tor, Authenticator giải mã thông tin EAP gửi đến Supplicant EAP-Success Tại đây, cổng phép truy cập Supplicant phép giao tiếp
- Bước 7: Tại thời điểm này, Supplicant có
thể bắt đầu trao đổi liệu
- Bước 8: Sau trao đổi liệu kết thúc
Supplicant ngừng làm việc cổng truy cập, gửi EAP-Logoff đến Authenticator để thơng báo ngừng làm việc cổng trả lại trạng thái cấm trạng thái không phép truy cập
Supplicant
Authentiction Server Authenticator
Bước 2: EAP-Request/Identity
RADIUS EAPoL
Bước 1: EAPoL-Start
Bước 3a: EAP-Response/Identity
Bước 3b: RADIUS-Access-Resquest Bước 4a: RADIUS-Access-Challenge Bước 2: EAP-Request
Bước 5a: EAP-Response
Bước 5b: RADIUS-Access-Resquest Bước 6a: RADIUS-Access-Accept
Cấm truy cập Bước 7: Exchange
Bước 6b: EAP-Success
Bước 8: EAPoL-Logoff
Cho phép truy cập trao đổi liệu
(6)9
5 Các loại EAP
Phần trước giải thích khung EAP-Resquest/ Response có trường gọi Type Trường có nhiều giá trị khác nhau, giúp việc định phương pháp chứng thực EAP sử dụng sau thương lượng Supplicant máy chủ chứng thực
Có số loại chứng thực EAP khác sử dụng như:
- EAP- MD5: Thách thức EAP- MD5
(Mes-sage Digest) loại chứng thực EAP định nghĩa RFC 3748 Nó đưa phương pháp bảo mật kém, khơng khuyến khích sử dụng cho phép mật người dùng dễ bị phát hiện, MD5 dùng thuật toán băm (Hash) bảo mật dùng phương pháp công Dic-tionary attack Trong loại chứng thực EAP này, có chứng thực chiều; khơng có chứng thực lẫn EAP yêu cầu EAP máy chủ Bởi cung cấp chứng thực bên EAP yêu cầu đến EAP máy chủ không cung cấp chứng thực máy chủ EAP, phương pháp chứng thực EAP dễ bị công theo phương pháp công man-in-the-middle
- EAP: LEAP (Lightweight Extensible Authen-tication Protocol) loại chứng thực EAP phát triển Cisco System LEAP sử dụng mạng WLAN Cisco Giao thức phân phối qua Cisco Certified Extension (CCX) phần thiết lập 802.1X gia tăng bảo mật cho phương pháp bảo mật WEP (Wire Equiva-lent Privacy) mạng Wireless LEAP mã hóa liệu truyền dùng phương pháp phát sinh động khóa bảo mật WEP hỗ trợ chứng thực lẫn Mặc dù LEAP hỗ trợ chứng thực tương tác lẫn nhau, thông tin người dùng dễ dàng bị lấy cắp Do để gia tăng khả bảo mật cho LEAP, thiết lập mật phức tạp cho người dùng
- PEAP: PEAP (Protected Extensible
Authenti-cation Protocol) tham gia phát triển Cisco System, Microsoft, RSA Security Phương pháp chứng thực EAP cho phép vận chuyển an tồn liệu chứng thực, phương pháp cung cấp bảo mật tốt Đây phương pháp phức tạp tạo đường riêng biệt máy trạm PEAP máy chủ chứng thực.Trong PEAP, bên máy chủ tạo chứng nhận PKI (Public Key Infrastructure) yêu cầu tạo
con đường bảo mật riêng TLS (Transport Layer Security) để bảo vệ chứng thực người dùng Sự yêu cầu thực bên máy chủ tạo chứng nhận làm đơn giản hóa việc hoạt động quản trị bảo mật mạng LAN/WLAN
- EAP-TLS: EAP-TLS (Transport Layer
Se-curity) định nghĩa RFC 5216 Trong đó, TLS giao thức mã hóa, cung cấp bảo mật tầng TCP giao thức tầng cao (HTTP, SMTP, NNTP) vận chuyển kênh bảo mật Bảo mật đưa giao thức TLS phương pháp mạnh cung cấp dựa việc cấp chứng nhận chứng thực tương tác lẫn Nó sử dụng PKI để bảo mật giao tiếp đến máy chủ chứng thực Trái ngược với PEAP, EAP-TLS có nhiều khó khăn việc quản trị yêu cầu tạo chứng nhận bên máy trạm với tạo chứng nhận bên máy chủ để thực chứng thực Lý EAP-TLS xem loại bảo mật chứng thực EAP tốt nhất, mà chí mật bị lấy cắp, khơng đủ phá vỡ cấu trúc EAP-TLS chạy hệ thống, hacker cần có khóa riêng máy trạm Bảo mật cung cấp EAP-TLS làm gia tăng việc bảo mật có thẻ thơng minh thẻ thơng minh có khóa bảo mật riêng biệt
- EAP-FAST: EAP-FAST (Flexible
Authen-tication via Security Tunneling) định nghĩa RFC 4851 phát triển Cisco System Giao thức thiết kế cho bảo mật yếu LEAP việc triển khai thực mức độ an toàn thấp Thay sử dụng nhận dạng, chứng thực tương tác lẫn dùng phương pháp PAC (Pro-tected Access Credential) Một tập tin PAC phát sinh người dùng, mà quản lý động máy chủ chứng thực EAP-FAST sử dụng PAC để thiết lập kênh truyền TLS riêng, máy trạm kiểm tra độ tin cậy PAC cung cấp tập tin đến máy trạm thao tác thủ công hay tự động Sự cung cấp thủ công phân phát đến máy trạm đĩa cứng phương pháp phân phối bảo mật mạng Sự cung cấp tự động phân phối theo nhóm
EAP-FAST có ba bước thực hiện:
- Giai đoạn 0: Giai đoạn tùy chọn
(7)- Giai đoạn 1: Trong giai đoạn này, máy trạm máy chủ chứng thực sử dụng PAC để thiết lập kết nối kênh truyền TLS riêng
- Giai đoạn 2: Trong giai đoạn này, thông tin
của máy trạm trao đổi bên kênh truyền mã hóa
EAP-FAST khơng sử dụng tập tin
PAC mà sử dụng dựa nhận dạng chứng thực tương tác lẫn TLS
6 Kết luận
6.1 So sánh loại chứng thực EAP
Bảng so sánh thể đặc điểm loại chứng thực EAP trình bày viết
6.2 Kết luận
Chuẩn 802.1.X thiết kế nguyên cho việc triển khai mạng có dây hay mạng LAN Ngày nay, chuẩn 802.1.X trở nên thông dụng quan trọng không tăng cường bảo mật cho mạng LAN mà sử dụng rộng rãi cho việc triển khai mạng Wireless (802.11) yêu cầu bảo mật tốt cho mạng Wireless Bảo mật yêu cầu suốt trình hoạt động hệ thống mạng, nhiều nhà sản xuất thiết bị mạng
bắt đầu sử dụng hỗ trợ chuẩn 802.1X sản phẩm họ Những người thiết kế quản trị mạng cần biết tiêu chuẩn triển khai thực tế đồng thời qua viết, tác giả mong muốn mang đến cho độc giả hiểu biết hoạt động chuẩn 802.1X loại phương pháp chứng thực EAP khác làm việc để làm gia tăng mức độ bảo mật cho toàn hệ thống mạng
Tài liệu tham khảo
Arunesh Mishra and William A Arbaugh 2002 An Initial SecurityAnalysis of the IEEE 802.1X Stan-dard. http://www.cs.umd edu/~waa/1x.pdf
IEEE Standard 802.1x-2001 – Standard for Port based Network Access Control.
Vivek Santuka, Premdeep Banga, Brandon J Carroll 2011 AAA Identity Management Security Cisco Press
Yusuf Bhaiji – CCIE 2008 CCIE Professional Development Series Network Security Technologies and Solutions. Cisco Press
MD5 LEAP PEAP FAST TLS
Các thuộc tính chứng thực Chứng thực
chiều
Chứng thực
lẫn thực lẫn Chứng
Chứng thực lẫn
nhau
Chứng thực lẫn Yêu cầu nhận dạng
máy trạm Không Không Khơng có tập Khơng, tin PAC
Có u cầu nhận dạng
máy chủ Không Không Có có tập Khơng,
tin PAC
Có Sự khó khăn việc triển
khai Dễ dàng Mức độ vừa phải độ vừa Mức phải
Mức độ
vừa phải yêu cầu việc triển Khó khăn (Cần khai nhận dạng máy trạm )
Tính bảo mật Kém Tốt (nhưng đặt
mật phải phức tạp)
Tốt Tốt Tốt