HomeĐời Sống802.1x là gì

802.1x là gì

02:38, 31/03/2021

Bài viết mong giới thiệu một tiêu chuẩn chỉnh chứng thực tín đồ dùng để giải quyết và xử lý vấn đề bảo mật trên hạ tầng mạng LAN cùng WLAN (Wireless LAN). Tiêu chuẩn 802.1X được quan niệm vì IEEE, cung cấp bài toán tinh chỉnh truy cập phương tiện đi lại truyền dẫn, tài năng cho phép xuất xắc cnóng sự liên kết mạng, điều khiển và tinh chỉnh truy cập VLAN cùng triển khai chế độ lưu lượng truyền dựa trên sự dìm dạng tài khoản người tiêu dùng hoặc khẳng định lắp thêm.




Bạn đang xem: 802.1x là gì

*

4Khoa hoïc Coâng ngheäBẢO MẬT MẠNG LOCAL AREA NETWORKDỰA TRÊN TIÊU CHUẨN 802.1XNguyễn Bá Nhiệm *Tóm tắtNgày nay những ứng dụng, hình thức bên trên những khối hệ thống mạng gia tăng với rất nhiều sự phức hợp cùng khủng hoảng chofan cai quản trị hệ thống mạng. Do đó, bọn họ đề nghị thực hiện, xúc tiến các biện pháp bảo mật thông tin giỏi hơn,tiêu chuẩn chỉnh 802.1X nhưng mà bài viết muốn ra mắt, một tiêu chuẩn chỉnh chứng thực fan dùng làm giải quyếtvấn đề bảo mật thông tin trên hạ tầng mạng LAN và WLAN (Wireless LAN). Tiêu chuẩn 802.1X được địnhnghĩa do IEEE, cung ứng câu hỏi tinh chỉnh truy cập phương tiện truyền dẫn, năng lực có thể chấp nhận được tốt cấmsự kết nối mạng, điều khiển và tinh chỉnh truy vấn VLAN và thực hiện chế độ lưu giữ lượng truyền dựa vào sự nhậndạng tài khoản người dùng hoặc xác minh đồ vật. Chuẩn 802.1X tiến hành theo giao thức triệu chứng thựcEAP (Extensible Authentication Protocol) được định dạng theo khung Ethernet trên mạng LAN cùng với tênCall EAPOL (Extensible Authentication Protocol Over LAN) bên cạnh đó cung cấp nhiều phương thức chứngthực khác biệt nhỏng PPP., MD5, TLS, CHAP với RADIUS có thể thực thi bên trên hệ thống mạng LAN vàcả WLAN. Bài viết trình bày chi tiết tiêu chuẩn 802.1X, EAP cùng EAPOL để hỗ trợ thêm kiến thức giảiquyết các sự việc bảo mật thông tin cho bài toán xây đắp và tiến hành một khối hệ thống mạng.Từ khóa: tiêu chuẩn 802.1x, EAP, EAPoL, giao thức chứng thực không ngừng mở rộng, ngày càng tăng bảo mật mạngLAN với tiêu chuẩn chỉnh 802.1x.AbstractToday, the increasing of applications & services on the network system has brought network administrators plenty of difficulties and risks. Therefore, the designing network security should be effectivelyimplemented by network administrators. One of security standards is 802.1X which is a user authentication standard to lớn address security issues on LAN & WLAN (Wireless LAN) infrastructure.The 802.1Xstandard, is defined by IEEE, supports access control for transmission medium, the ability lớn allow orprohibit network connection, VLAN access control and implementation of transmission policies basedon identity user accounts or devices determined. The 802.1X standard is done by Extensible Authentication Protocol (EAP) and has the Ethernet frame format on the LAN called Extensible AuthenticationProtocol Over LAN (EAPOL), và supports various authentication methods such as PPP., MD5, TLS ,CHAPhường. & RADIUS which can be deployed on a LAN system, even WLAN. The paper will discuss indetail about the 802.1X standard, EAP & EAPOL khổng lồ provide more knowledge lớn solve sầu security issuesfor the design and implementation of a network system.Keywords: The standard 802.1x, EAPhường, EAPOL, Extensible Authentication Protocol, The enhancedsecurity of LAN with 802.1x standard.1. Giới thiệu 802.1X, EAP cùng EAPOLIEEE 802.1X là một chuẩn chỉnh điều khiển truy tìm cậpmạng dựa vào cổng (port), nghĩa là sự hội chứng thựccủa tầng 2 bên trên quy mô OSI. Nó được triển khaingẫu nhiên của một cổng trên mạng Ethernet (IEEE802). Phần bự các việc triển khai truy vấn mạngdựa trên cổng là truy cập đến các mạng khôngdây (WLAN) cùng truy cập những mạng bao gồm dây (LAN)dựa vào một tổ trang bị Switch. Mặc nhiêncác cổng sống tâm trạng “đóng”, nghĩa là việc tầm nã cậpko được cho phép luồng dữ liệu đi ngang qua,trong cả sự liên kết đồ lý được thiết lập. Sau khingười tiêu dùng (user) hoặc sản phẩm công nghệ truy cập yêu thương cầu*chứng thực phiên bản thân nó, lúc ấy tâm trạng cổngđược chuyển đổi “mở”, tức là luồng dữ liệuthông thường được phép đi ngang qua cổng.IEEE 802.1X hạn chế các thứ trạm (clients)ko được xác thực kết nối cho hạ tầng mạngLAN hoặc WLAN dùng vì chưng sự điều khiển truycập dựa trên sever (Server) cùng thứ trạm vớigiao thức chứng thực.Chuẩn 802.1X định nghĩa ba thành phầnchính tsi mê gia trong quy mô tinh chỉnh truycập như sau:Thạc sĩ, Khoa Kỹ thuật & Công nghệ - Trường Đại học Tthẩm tra VinhSoá 10, thaùng 9/20134 Khoa hoïc Coâng ngheä- Client hoặc Supplicant: Thiết bị đề nghị truy vấn hayyêu cầu truy cập hạ tầng mạng LAN/WLAN hoặccác các dịch vụ thiết bị thuộc tầng 2. Các đồ vật đượchỗ trợ ứng dụng 802.1X giao hàng mang đến lắp thêm trạm đểnó có thể trả lời đề xuất từ bỏ thứ trực thuộc tầng 2.5xác thực cùng triển khai trả lời lại của máycông ty xác thực mang lại thiết bị trạm.- Authentication Server: Thiết bị đảm nhiệm việctriển khai xác thực cùng có thể chấp nhận được Authenticatorgiao hàng hay phủ nhận Ship hàng mang đến vật dụng trạm. Máychủ xác thực phê chuẩn chỉnh thông báo dìm dạngcủa máy trạm cùng thông báo mang lại lắp thêm mạngở trong tầng 2 đã hoạt động như Authenticatorchuyển tiếp công bố cho lắp thêm trạm.- Authenticator: Nhiệm vụ của vật dụng nàynối tiếp công bố thân sever chứng thựcvà vật dụng trạm (Supplicant). Authenticator là thiếtbị mạng nằm trong tầng 2 chuyển động nlỗi một điểmtrung gian hoặc proxy giữa máy trạm và thiết bị chủxác thực vì thực hiện yên cầu xác thực thôngtin từ bỏ lắp thêm trạm, đánh giá lên tiếng đó với trang bị chủTrong Hình 1 giới thiệu mô hình mạng dựa trêncác sự liên kết khác nhau.WorkstationSwitchClient/SupplicantAuthenticatorAuthentication ServerAccess PointLaptopHình 1. Sự kết nối triển khai bên trên những sản phẩm sử dụng chuẩn 802.1XCác yếu tố của Hình 2 cung cấpcó mang bình thường về kiến trúc của chuẩn802.1X và giới thiệu Supplicant, Authenticator,Authentication Server trong mạng LAN hoặcWLAN sử dụng chuẩn chỉnh 802.1X trong đó nó yêucầu từng cổng bên trên Authenticator là cổngđiều khiển có thể chấp nhận được hay không mang lại phépluồng dữ liệu trải qua.AAA802.1XRADIUSSwitchPCServerHệ thống máytrạmMáy trạm vớicổng truy cập (PAE)Hệ thống máycông ty hội chứng thựcHệ thống triệu chứng thựcCác dịch vụ phục vụcủa hệ thốngAuthenticatorCổng đượcđiều khiểnAuthenticator vớiPAECổngkhôngđược phéptầm nã cậpdịch vụTruyền giaothức EAPđược chuyểntiếp trêngiao thứccủa các tầngcao hơnMáy công ty chứngthựcHạ tầng mạng LAN/WLANHình 2. Sơ đồ kiến trúc của chuẩn 802.1XSoá 10, thaùng 9/20135 6Khoa hoïc Coâng ngheäPAE (Port Access Entity) trình diễn vào Hình 2sử dụng cho những trang bị mạng thực hiện thuật toán thù củachuẩn chỉnh 802.1X và chuyển động giao thức. Một cổng làmột điểm tự do kết nối mang lại cơ sở hạ tầng mạngLAN. Trong trường hòa hợp mạng LAN, một Switchquản lý những cổng xúc tích và ngắn gọn. Mỗi cổng logic kia giao tiếpvới một cổng của dòng sản phẩm trạm.RADIUS (remote access dial in user service)một chuẩn chỉnh hỗ trợ các dịch vụ Authentication, Authorization, Accounting (AAA) đến hệ thống mạng.Mặc dù giao thức RADIUS cung ứng là tùy chọn trongIEEE 802.1X. hầu hết Authenticator áp dụng chuẩn802.1X vào vai trò như những đồ vật trạm RADIUS.EAP (Extensible Authentication Protocol) là mộtgiao thức chủ yếu được áp dụng chất vấn thông tinchứng thực thân thứ trạm và sever xác nhận.IEEE 802.1X định nghĩa sự đóng size củaEAP dựa vào IEEE 802 với được nghe biết nhỏng EAPáp dụng mạng LAN (EAP over LANs xuất xắc EAPOL).EAPOL đang kiến thiết cho mạng Ethernet tuy vậy đãđược cải tiến và phát triển thêm để cân xứng mang đến câu hỏi triển khaicác mô hình mạng khác biệt nlỗi mạng Wireless,mạng FDDI (Fiber Distribution Data Interface).EAP là 1 giao thức xác thực, không nhữnghướng đẫn đề xuất sự xác nhận trong hệ thống, nócòn cung ứng vài tác dụng bình thường và gạn lọc cácphương pháp xác nhận Gọi là những pmùi hương phápEAPhường (EAPhường methods). Các cách thức EAP.. hỗ trợnhững một số loại chứng thực khác biệt nlỗi thẻ bài (tokencard), chứng nhận (certificates), password (passwords) với sự xác nhận khóa công cộng (publickey authentication).các phương thức xác thực khác nhau haycác cách thức chứng thực bắt đầu chỉ máy trạm(client/supplicant) với sever chứng thực gồm thểtiến hành một vài xuất xắc toàn bộ những pmùi hương phápchứng thực.Ngày ni, có không ít phương thức hội chứng thựchoặc những phương pháp xác nhận đã sử dụngtrong thực tiễn, trong số các cách thức đượcquan niệm của IETF RFCs nhỏng EAP-MD5,EAP-OTP, EAP-GTC, EAP-TLS cùng kế bên racòn các cách thức không giống vày những công ty sản xuấtsản phẩm công nghệ chỉ định như PEAPhường, LEAPhường, EAP-TTLS.EAPhường. hướng dẫn và chỉ định bốn thông điệp truyền đi trênmạng:- Request (0x01): Được dùng để làm gửi cácthông điệp trường đoản cú Authenticator đến sản phẩm trạm (Supplicant).- Response (0x02): Được dùng làm gửi cácthông điệp tự lắp thêm trạm mang lại Authenticator.- Success (0x03): Được gửi vì Authenticator chỉ định và hướng dẫn sự truy vấn được đồng ý chấp thuận.- Failure (0x04): Được gửi bởi Authenticatorhướng đẫn sự truy vấn bị phủ nhận.Hình 3 minch họa format thông điệp EAPvới liệt kê, mô tả những yếu tắc thông điệp.CodeIdentifierLengthDataHình 3. Định dạng thông điệp EAPBài viết trình bày hai giao thức EAPhường với EAPOLnhằm gọi tốt hơn về bọn chúng trước lúc họ triểnknhị chúng vào hệ thống mạng thực tế.- Code: Trường Code chiếm một byte chỉ raloại thông điệp (Request, Response, Success,Failure).2. Giao thức xác thực không ngừng mở rộng (ExtensibleAuthentication Protocol -EAP)- Identifier: Trường Identifier chỉ chiếm mộtbyte tiềm ẩn một số ngulặng dương cần sử dụng đểkiểm soát trùng khớp những thông điệp request vớicác thông điệp response. Mỗi thông điệp requestbắt đầu thực hiện một vài identifier mới.EAP là một nền tảng gốc rễ sự chứng thực cho những thiếtbị vào khối hệ thống mạng nhưng nó cung cấp nhiều phươngpháp xác thực. Về cơ bản, EAP. cho phép hai thựcthể trong khối hệ thống mạng dàn xếp ban bố đượchướng dẫn và chỉ định phương thức xác thực, những thực thể đóao ước áp dụng. Nội dung của sự việc xác nhận kia chỉđịnh vày các phương pháp ko được định nghĩavào EAP..Đây là 1 giao thức đem đến nhiều thuận lợiđược đưa ra kiến trúc EAP và mang tính hóa học mềmdẻo.

Xem thêm: Tìm Hiểu Khám Cận Lâm Sàng Là Gì ? Khám Cận Lâm Sàng



Xem thêm: Những Stt Hay Về Tình Yêu Lãng Mạn Nhất, Những Stt Hay Về Tình Yêu Ngắn Gọn Lãng Mạn Nhất

Authenticator không phải cập nhật để hỗ trợ- Length: Hai byte cho ngôi trường Length chỉ ratổng cộng byte vào tổng thể gói tin (packet).- Data: Giá trị của đổi mới Length (bao gồmbyte 0) của trường Data quan niệm bí quyết làm thếlàm sao để ngôi trường Data phiên dịch dữ liệu.Định dạng thông điệp EAPhường trình bày trongHình 3 được sử dụng để gửi đi.Soá 10, thaùng 9/20136 Khoa hoïc Coâng ngheä3. Giao thức chứng thực không ngừng mở rộng mang lại mạngLAN (Extensible Authentication ProtocolOver LAN - EAPOL)- EAP. request- EAPhường. response- EAP. success- EAPhường failureThêm một trường nữa được reviews là trườngType biểu lộ vào Hình 4. Trường này dùng mộtbyte để tư tưởng các loại thông điệp EAP. request hoặcEAP. response. Chỉ một trường Type được sử dụngtrong những gói tin và Type trả lời trùng khớp vớitừng trải.CodeIdentifier7LengthTypeRequest/ResponseDataHình 4. Thông điệp Request/Response EAPCác thông điệp EAP.. Success và EAPhường Failure thểhiện tại vào trường Data là những byte 0 với kết cấu duytrì vào Hình 4. Trước lúc bắt đầu tiến hành, cácthông điệp EAPhường. Request và EAP Response đượcchia nhỏ dại ra dùng trong trường EAPhường Type. Có vàicác loại EAP. bình thường sau đây:- Identity (1)- Notification (2)- NAK (3)- MD5-Challenge (4)- One-Time Password (OTP) (5)- Generic Token Card (6)- LEAP (17)- EAP-TTLS (21)- PEAPhường (25)- EAP-FAST (43)Phần quan trọng đặc biệt đang quan niệm trước trongngôi trường Type là Identity (Type = 1) vày điều này sửdụng như một phần vấn đề đối chiếu thông điệp EAP:- EAP-Request/Identity (Code = 1, Type = 1):gửi vị Authenticator mang đến một Supplicant new.- EAP-Response/Identity (Code = 2, Type =1): trả lời mang đến EAP-Resquest/Identity, Supplicantđánh giá cùng với thông điệp này chứa đựng tài khoảnngười tiêu dùng (username) hoặc vài biết tin xác nhậnkhác cơ mà sẽ tiến hành gọi bởi sever xác nhận.Để tò mò chi tiết các loại EAPhường. khác, vui lòngtìm hiểu thêm tài liệu EAPhường. RFC (RFC 2284).EAP.. RFC không những rõ làm núm như thế nào những thôngđiệp hiệp thương được cùng nhau. Vậy để thảo luận cácthông điệp EAP, họ bắt buộc tò mò giải pháp traothay đổi cùng định dạng của chúng. Để giải thích vấn đềnày, IEEE 802.1X vẫn định nghĩa một giao thứcgọi là EAPOL (EAP over LAN) để giúp gọi cácthông điệp EAPhường Bàn bạc giữa lắp thêm trạm (Supplicant) cùng Authenticator. EAPOL được thiết kếtrước tiên đến Ethernet tuy thế không ngừng mở rộng phù hợpcho các chuẩn chỉnh mạng không giống nhau.Hình 5 thể hiện định dạng form EAPOLEthernetMACHeaderProtocolVersionPacketTypePaketBodyLengthPacket BodyHình 5. Định dạng form EAPOLCó năm nhiều loại thông điệp của EAPOL nhỏng sau:- EAP-Packet (0): chứa đựng khung EAP đãđịnh dạng- EAP-Start (1): Một máy trạm (Supplicant)có thể gửi một khung EAP-Start nắm do hóng đợisự thách thức từ bỏ Authenticator (EAP-Packet).- EAP-Logoff (2): Dùng nhằm trả về trạng tháicủa cổng không được phnghiền truy vấn lúc máytrạm đã kết thúc sử dụng mạng.- EAP-Key (3): Dùng thảo luận ban bố khóabảo mật thông tin.- EAP-Encapsulatated-ASF-Alert (4):Cung cung cấp phương thức cho phép ASF (AlertStandards Forum) chú ý nối tiếp qua cổngmà nó ngơi nghỉ tâm trạng ko được phnghiền truy cập.4. Sự hội đàm thông điệp trong 802.1XChuẩn 802.1X có ba thực thể tyêu thích gia hoạtrượu cồn trong hệ thống mạng: sản phẩm trạm (Client/Supplicant), Authenticator cùng máy chủ chứngthực (Authentication Server). Các thông điệpBàn bạc cùng nhau trong các cha thực thể trên. Chuẩn802.1X thực hiện EAP. hoặc ví dụ rộng EAPOLđàm phán những thông điệp đó giữa Supplicant vàAuthenticator, thân Authenticator và Authentication Server sử dụng giao thức RADIUS bởi vì địnhdạng EAPhường. vào RADIUS. cũng có thể tham khảothêm về tư liệu EAPhường over RADIUS.Soá 10, thaùng 9/20137 8Khoa hoïc Coâng ngheäHình 6 biểu đạt công dụng sự hiệp thương thông điệp EAPOL/802.1X.EAPoLRADIUSAuthenticatorSupplicantAuthentiction ServerCách 1: EAPoL-StartCách 2: EAP-Request/IdentityCách 3a: EAP-Response/IdentityBước 3b: RADIUS-Access-ResquestCách 4a: RADIUS-Access-ChallengeBước 2: EAP-RequestBước 5a: EAP-ResponseBước 5b: RADIUS-Access-ResquestBước 6a: RADIUS-Access-AcceptBước 6b: EAP-SuccessCách 7: ExchangeCho phxay truy vấn và dàn xếp dữ liệuBước 8: EAPoL-LogoffCấm truy hỏi cậpHình 6. Trao đổi thông điệp EAPOL/802.1XMô tả quy trình vận động 802.1X nhỏng sau:- Cách 1: Authenticator gửi thông điệp nhậndạng của EAP-Request trước tiên mang lại Supplicant đểhỏi sự thừa nhận dạng của Supplicant. Supplicant cũnghoàn toàn có thể bước đầu quy trình này trường hợp nó được yêu thương cầubằng cách gửi thông điệp EAPOL-Start.- Cách 2: Nếu Supplicant gửi thông điệp EAPStart, Authenticator những hiểu biết sự nhấn dạng của Supplicant bằng cách gửi thông điệp EAP-Request/Identity.- Bước 3: Trong sự trả lời lại, đồ vật trạm gửilên tiếng của nó vào form EAP-Response/Identity. Authenticator giải mã thông báo trường đoản cú khung EAPOLcùng chuyển thông tin EAP trong khung mang đến thiết bị chủchứng thực bằng giao thức RADIUS nlỗi RADIUSAccess- Request.- Cách 4: Máy chủ RADIUS trao đổi vớiSupplicant bằng phương pháp gửi RADIUS-Access-Challenge cho Authenticator, trên phía trên Authenticator đónggói biết tin EAP vào khung EAPOL cùng chuyểnnó cho Supplicant bằng EAP-Request.- Cách 5: Sự hồi đáp EAP-Request, Supplicantgửi lại EAP-Response cho Authenticator, tại đâyAuthenticator giải mã công bố EAP. cùng gửi đếnmáy chủ chứng thực bằng RADIUS-AccessResquest.- Cách 6: Có vài ba sự trao đổi của EAP-Response/ RADIUS-Access-Request cùng RADIUSAccess-Challenge/ EAP-Request trước lúc kếtthúc máy chủ RADIUS gửi RADIUS-AccessAccept Tức là người tiêu dùng đã có được chứngthực. khi sự hồi đáp được trao do Authenticator, Authenticator giải mã đọc tin EAP. và gửinó mang đến Supplicant bởi EAP-Success. Tại phía trên,cổng được phnghiền truy vấn cùng Supplicant đã đượcphnghiền tiếp xúc.- Bước 7: Tại thời đặc điểm đó, Supplicant cóthể bắt đầu thương lượng tài liệu.- Bước 8: Sau khi đàm phán dữ liệu xong xuôi vàSupplicant hoàn thành làm việc trên cổng truy cập,nó gửi EAP-Logoff mang lại Authenticator nhằm thôngbáo rằng nó hoàn thành làm việc trên cổng và trả lạitâm lý cấm hoặc tâm trạng không được phéptruy cập.Soá 10, thaùng 9/20138

Chuyên mục: Đời Sống