hiep03
Intern
Cấu Hình Authentication và Access Control với MAB (MAC Address Bypass )cho kết nối có dây và không dây với các thiết bị IoT
I. Mở đầu
Trong hệ thống mạng doanh nghiệp, việc kiểm soát thiết bị được phép truy cập vào mạng là một yêu cầu quan trọng nhằm hạn chế các thiết bị lạ, thiết bị không được quản lý hoặc thiết bị không an toàn kết nối vào hệ thống nội bộ.Thông thường, các thiết bị như laptop hoặc máy tính người dùng có thể xác thực bằng 802.1X thông qua tài khoản người dùng hoặc chứng chỉ số. Tuy nhiên, trong thực tế có nhiều thiết bị như camera IP, máy in, điện thoại IP, máy chấm công hoặc thiết bị IoT không hỗ trợ 802.1X. Với các thiết bị này, doanh nghiệp thường sử dụng cơ chế MAC Authentication Bypass, gọi tắt là MAB, để kiểm soát truy cập dựa trên địa chỉ MAC của thiết bị.
Trong bài lab này, hệ thống sử dụng Aruba ClearPass Policy Manager làm máy chủ xác thực RADIUS, kết hợp với switch Cisco đóng vai trò thiết bị truy cập mạng. Khi thiết bị được cắm vào các cổng của switch, switch sẽ gửi thông tin xác thực về ClearPass. ClearPass sẽ kiểm tra địa chỉ MAC, thông tin endpoint và chính sách đã cấu hình để quyết định thiết bị được phép truy cập hay bị từ chối.
Mục tiêu của bài lab là mô phỏng quá trình xác thực thiết bị bằng MAC Authentication Bypass, từ đó hiểu được cách ClearPass xử lý request RADIUS, cách phân loại thiết bị và cách trả về chính sách truy cập như VLAN hoặc quyền truy cập tương ứng.
II. Lý thuyết
MAC Authentication Bypass là gì?MAC Authentication Bypass, hay MAB, là cơ chế xác thực thiết bị dựa trên địa chỉ MAC. Cơ chế này thường được dùng cho các thiết bị không hỗ trợ 802.1X như camera IP, máy in, điện thoại IP hoặc thiết bị IoT.
Khi thiết bị không thể gửi thông tin xác thực 802.1X, switch sẽ lấy địa chỉ MAC của thiết bị và gửi địa chỉ MAC đó về ClearPass dưới dạng thông tin xác thực.
Ví dụ thiết bị có MAC address:
<span>AA:BB:CC:11:22:33</span>
Switch có thể gửi về ClearPass dưới dạng:
<span>
User-Name = AA-BB-CC-11-22-33
User-Password = AA-BB-CC-11-22-33
Calling-Station-Id = AA-BB-CC-11-22-33
<span>
ClearPass sẽ kiểm tra MAC này có hợp lệ hay không. Nếu hợp lệ, ClearPass trả về kết quả cho phép truy cập. Nếu không hợp lệ, thiết bị có thể bị chặn hoặc bị đưa vào VLAN cách ly.
Vì sao cần MAC Authentication Bypass?Không phải thiết bị nào cũng hỗ trợ 802.1X. Ví dụ:
<span>Camera IP</span><br><span>Máy in</span><br><span>Điện thoại IP</span><br><span>Máy chấm công</span><br><span>Thiết bị IoT</span><br><span>Thiết bị công nghiệp</span>
Các thiết bị này thường không có giao diện để nhập username/password, không có supplicant 802.1X hoặc không hỗ trợ chứng chỉ số. Vì vậy, nếu hệ thống mạng chỉ cho phép 802.1X thì các thiết bị này sẽ không thể truy cập mạng.
MAB được dùng như một giải pháp thay thế cho các thiết bị không hỗ trợ 802.1X. Tuy nhiên, MAB không phải là cơ chế bảo mật mạnh vì địa chỉ MAC có thể bị giả mạo. Do đó, trong thực tế MAB nên kết hợp thêm các điều kiện khác như loại thiết bị, vị trí cổng switch, VLAN, profiling hoặc danh sách MAC được quản lý.
III. Mô hình
VI. Cấu hình
1. Tạo Static Host List
Configuration > Identity > Static host lisst
Add
Camera
Printer
2. Tạo Enformence Profile trả VLAN
Camera
Gán Attribute
Tunnel-Type = VLAN -> Gán VLAN
Tunnel-Medium-Type = IEEE-802 -> VLAN này áp dụng cho mạng Ethernet
Tunnel-Private-Group-ID = 30 -> gán động với VLAN cần gán là VLAN 30
Save
Printer
3. Tạo Enforcement Policies
Add
Rule Camera
Sẽ check xem MAC gửi tới có nằm trong Group Camera hay không nếu có thì thực thi Profile Camera
Tương tự cho Rule Printer
Save
4. Tạo Service MAB
Phần Authen Add mới Authen Source vào
Lấy từ Static Host List
Save
Tại mục Enforcement gán Policy đã tạo
Save
5. Cấu hình Switch
VLAN
Mã:
conf ter
vlan 100
name IOT_CAMERA
vlan 101
name IOT_PRINTER
vlan 99
name QUARANTINECấu hình RADIUS trỏ về ClearPass
Mã:
aaa new-model
radius server CLEARPASS
address ipv4 10.0.200.20 auth-port 1812 acct-port 1813
key ClearPass@123
aaa group server radius CPPM
server name CLEARPASS
aaa authentication dot1x default group CPPM
aaa authorization network default group CPPM
aaa accounting dot1x default start-stop group CPPM
dot1x system-auth-controlCấu hình port MAB cho Camera
Mã:
interface range gigabitEthernet 0/1 - 2
description VPC_IOT_CAMERA
switchport mode access
switchport access vlan 99
spanning-tree portfast edge
# Kích hoạt xác thực & MAB
authentication port-control auto
mab
# Ép MAB chạy trước để không bị delay timeout
authentication order mab dot1x
authentication priority mab dot1x
# Cho phép thay đổi VLAN động dựa vào RADIUS (ClearPass) trả về
access-session control-direction in
authentication periodic
no shutdown
exit
Mã:
interface range gigabitEthernet 0/3 , gigabitEthernet 1/0
description VPC_IOT_PRINTER
switchport mode access
switchport access vlan 99
spanning-tree portfast edge
# Kích hoạt xác thực & MAB
authentication port-control auto
mab
# Ép MAB chạy trước
authentication order mab dot1x
authentication priority mab dot1x
# Tiếp nhận VLAN động từ RADIUS
access-session control-direction in
authentication periodic
no shutdown
exit6. Đặt IP cho VPC
Để VPC tạo ra traffic mạng cho Switch đọc được MACCamera 1
Camera 2
Printer
Printer chưa được vào mạng
V. Kiểm tra
Trên ClearPass
3 máy được phép đã xác thực được qua Service còn 1 máy chưa cho vào danh sách sẽ bị Reject
Trên Switch
Ban đầu
Các port tương ứu với máy đang trong VLAN 99
Lúc sau
port máy chưa cho phép sẽ vẫn nằm ở VLAN 99 còn những máy cho phép Port được gán VLAN tương ứng
Cảm ơn các bạn đã xem bài viết của mình
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới