huu9phuoc3
11-03-2006, 01:37
Security với 802.1x
802.1x dùng trong kết nối point to point(ppp ).trước đây ppp được dùng trong kết nối dial-up và sau đó áp dụng cho DSL/cable modems ( PPP-over-Ethernet, or PPPoE protocol ) .ppp làm việc rất tốt nhưng có một số đặc tính được giới hạn ví nó chỉ hỗ trợ username/password cho việc xác thực (authentiation)
EAP đã được tạo như một sự mở rộng của ppp .ý tưởng đó đã thiết lập một frame tổng quát cho những cho nhiều chức năng xác thực .nói cách khác ppp authentication được tích hợp bên trong .theo cách này bạn có thể authentication cho những user một cách tùy ý .ví dụ bạn có thễ chứng thực như password , smart cards, Kerberos …dùng chuẩn mở có nghĩa chứng minh khả năng triển khai của bạn vì sau này không có sự sáng chế co thể thêm vào như EAP
802.1x là một giao thức đơn giản dùng để trao đổi qua mạng có dây hoặc không dây
Để hiểu 802.1x đầu tiên bạn phài hiểu nó có 3 thành phần cơ bản : Supplicants, authenticators, and authentication servers
Supplicants :những users có nhu cầu truy xuất vào mạng
Authenticator : là một người ở giữa cho phép block hoặc allow traffic
Authentication servers : dùng để quản lý thông tin authentication thường là radius server
Nhớ rằng để EAP họat động thì 802.1x phải hỗ trợ 3 thành phần trên
Authenticators là sự tóm lược traffic .nó hoạt động giống như một firewall động .nếu bạn xác thực không thành công họ sẽ không cho bạn qua lọai những 802.1x messages ngược lại traffic của bạn được phép
Client bắt đầu gửi EAP start frame .điều này bào cho authenticator có người muốmn tham gia vào hệ thống mạng .athenticator trả lời với EAP một Request/Identity frame . nội dung là bạn là ai mà muốn vào hệ thống mạng của tội .client sẻ trả lời lại với một Request/Identity frame (gửi user name ,…) authenticator sẽ chuyễn đến authenticaton server .athen ticaton server gửi lại athenticator EAP-Request frame chứa một số lọai challenge ví dụ như vế password .authenticator sẽ chuyến suông client .sau đó authenticators sẽ gửi respond tứ client lên authenticaton sever .sau khi thẩnm định trả lới cho authenticator một EAP-Success (or failure) frame .nếu một EAP-Success message được nhận authenticator sẽ chuyể controll port từ unauthorized sang authorized và traffic network sẽ họat động .như bạn đã thấy client không bao giờ nói chuyện trực tiếp với authentication server .tất c3 những liên lạc được relay bởi authenticator một kh đã authenticated thành công nó mới truy suất vào tài nguyên mạng được
Một số phương thức của EAP authentication
EAP-MD5 là một giao thức cung cấp sự bảo mật thấp nhất có thể và dễ để hiện thực phương thức này gọi là CHAP xừ lý dựa vào password dùnh giải thuật riêng
EAP-Cisco(LEAP) :là một EAP đầu tiên đượo định nghĩa riêng dùng trong Wireless LAN. EAP-cisco dựa vào password sử dụn giải thuật xác thực chung
EAP-PEAP họat dộng giống như secure socket layer (SSL) tại datalink layer 2 .xác thực chung bằng cách chỉ đến server-side để thẩm định sử dụng để tạo một hầm SSL dành cho client để bảo mật xác thực với network đó
802.1x dùng trong kết nối point to point(ppp ).trước đây ppp được dùng trong kết nối dial-up và sau đó áp dụng cho DSL/cable modems ( PPP-over-Ethernet, or PPPoE protocol ) .ppp làm việc rất tốt nhưng có một số đặc tính được giới hạn ví nó chỉ hỗ trợ username/password cho việc xác thực (authentiation)
EAP đã được tạo như một sự mở rộng của ppp .ý tưởng đó đã thiết lập một frame tổng quát cho những cho nhiều chức năng xác thực .nói cách khác ppp authentication được tích hợp bên trong .theo cách này bạn có thể authentication cho những user một cách tùy ý .ví dụ bạn có thễ chứng thực như password , smart cards, Kerberos …dùng chuẩn mở có nghĩa chứng minh khả năng triển khai của bạn vì sau này không có sự sáng chế co thể thêm vào như EAP
802.1x là một giao thức đơn giản dùng để trao đổi qua mạng có dây hoặc không dây
Để hiểu 802.1x đầu tiên bạn phài hiểu nó có 3 thành phần cơ bản : Supplicants, authenticators, and authentication servers
Supplicants :những users có nhu cầu truy xuất vào mạng
Authenticator : là một người ở giữa cho phép block hoặc allow traffic
Authentication servers : dùng để quản lý thông tin authentication thường là radius server
Nhớ rằng để EAP họat động thì 802.1x phải hỗ trợ 3 thành phần trên
Authenticators là sự tóm lược traffic .nó hoạt động giống như một firewall động .nếu bạn xác thực không thành công họ sẽ không cho bạn qua lọai những 802.1x messages ngược lại traffic của bạn được phép
Client bắt đầu gửi EAP start frame .điều này bào cho authenticator có người muốmn tham gia vào hệ thống mạng .athenticator trả lời với EAP một Request/Identity frame . nội dung là bạn là ai mà muốn vào hệ thống mạng của tội .client sẻ trả lời lại với một Request/Identity frame (gửi user name ,…) authenticator sẽ chuyễn đến authenticaton server .athen ticaton server gửi lại athenticator EAP-Request frame chứa một số lọai challenge ví dụ như vế password .authenticator sẽ chuyến suông client .sau đó authenticators sẽ gửi respond tứ client lên authenticaton sever .sau khi thẩnm định trả lới cho authenticator một EAP-Success (or failure) frame .nếu một EAP-Success message được nhận authenticator sẽ chuyể controll port từ unauthorized sang authorized và traffic network sẽ họat động .như bạn đã thấy client không bao giờ nói chuyện trực tiếp với authentication server .tất c3 những liên lạc được relay bởi authenticator một kh đã authenticated thành công nó mới truy suất vào tài nguyên mạng được
Một số phương thức của EAP authentication
EAP-MD5 là một giao thức cung cấp sự bảo mật thấp nhất có thể và dễ để hiện thực phương thức này gọi là CHAP xừ lý dựa vào password dùnh giải thuật riêng
EAP-Cisco(LEAP) :là một EAP đầu tiên đượo định nghĩa riêng dùng trong Wireless LAN. EAP-cisco dựa vào password sử dụn giải thuật xác thực chung
EAP-PEAP họat dộng giống như secure socket layer (SSL) tại datalink layer 2 .xác thực chung bằng cách chỉ đến server-side để thẩm định sử dụng để tạo một hầm SSL dành cho client để bảo mật xác thực với network đó