hiep03
Intern
Tìm hiểu các giao thức, framework liên quan trong HPE Aruba ClearPass Policy Manager
1. Giới thiệu
Như ở bài viết trước mình đã giới thiệu, HPE Aruba ClearPass Policy Manager là một nền tảng kiểm soát truy cập mạng (NAC) chuyên sâu, giúp quản trị viên xác định chính xác ai và thiết bị nào đang kết nối, đồng thời cấp quyền truy cập tương ứng.Trong môi trường mạng doanh nghiệp thực tế, để tương tác và quản lý được nhiều loại thiết bị mạng, hệ thống nhận dạng cũng như nền tảng bảo mật khác nhau, ClearPass phải dựa vào một bộ giao thức và framework tiêu chuẩn rất đa dạng. Khả năng tương thích này chính là chìa khóa giúp nền tảng tích hợp linh hoạt vào mọi hạ tầng IT hiện hữu.
Bài viết này sẽ viết về nhóm Framework and protocol support. Từ các chuẩn xác thực và phân quyền cốt lõi như RADIUS, TACACS+, hệ thống đường hầm EAP, cho đến các cơ chế SSO hiện đại như SAML v2.0, OAuth2 và các định dạng log bảo mật chuyên dụng.
2. RADIUS
RADIUS — Remote Authentication Dial-In User Service — là một trong những giao thức quan trọng nhất trong ClearPass. RADIUS được dùng để vận chuyển thông tin xác thực, phân quyền và cấu hình giữa thiết bị truy cập mạng và authentication server. Theo RFC 2865, RADIUS là giao thức dùng để mang thông tin authentication, authorization và configuration giữa Network Access Server và Authentication Server.Trong ClearPass, RADIUS thường xuất hiện khi người dùng hoặc thiết bị kết nối vào mạng Wi-Fi, mạng LAN có dây hoặc VPN. Switch, access point, controller hoặc VPN gateway sẽ gửi yêu cầu RADIUS về ClearPass. Sau đó, ClearPass kiểm tra chính sách và trả về kết quả như cho phép, từ chối, gán VLAN, gán role hoặc áp ACL.
Ví dụ thực tế:Laptop nhân viên kết nối Wi-Fi công ty → controller gửi RADIUS request đến ClearPass → ClearPass kiểm tra user/device → trả về role “Employee”.
3. RADIUS Dynamic Authorization
RADIUS Dynamic Authorization là cơ chế mở rộng của RADIUS, thường được biết đến qua CoA — Change of Authorization. Thành phần này cũng nằm trong danh sách framework/protocol support của ClearPass.RADIUS Dynamic Authorization cho phép ClearPass thay đổi quyền truy cập của thiết bị sau khi thiết bị đã kết nối vào mạng.
Ví dụ:Một thiết bị ban đầu được đưa vào VLAN kiểm tra. Sau khi đạt điều kiện bảo mật, ClearPass gửi CoA để chuyển thiết bị sang VLAN nội bộ. Nếu thiết bị bị phát hiện rủi ro, ClearPass có thể đổi role sang quarantine.
Nói ngắn gọn, RADIUS dùng để xác thực ban đầu, còn RADIUS Dynamic Authorization giúp thay đổi quyền truy cập trong quá trình phiên kết nối đang hoạt động.
4. TACACS+
TACACS+ là giao thức AAA thường dùng để quản lý quyền truy cập của quản trị viên vào thiết bị mạng như switch, router, firewall hoặc wireless controller.Khác với RADIUS thường dùng nhiều cho endpoint/user truy cập mạng, TACACS+ thường phù hợp hơn cho device administration. Trong ClearPass, TACACS+ có thể dùng để kiểm soát ai được đăng nhập thiết bị mạng, được chạy lệnh nào và ghi nhận thao tác quản trị.
Ví dụ:
- Helpdesk: Chỉ xem trạng thái port
- Network Admin: Cấu hình switch/router
- Security Admin: Xem log và policy
- Junior Admin: Chỉ chạy một số lệnh giới hạn
5. Web Authentication
Web authentication là cơ chế xác thực người dùng thông qua giao diện web. Đây là thành phần nằm trong danh sách framework/protocol support của ClearPass.Trong thực tế, web authentication thường liên quan đến các luồng đăng nhập qua trang web, chẳng hạn guest access, portal login hoặc một số mô hình xác thực không dùng 802.1X trực tiếp.
Web authentication không nên hiểu là một giao thức đơn lẻ như RADIUS hay TACACS+. Nó là một cơ chế xác thực dựa trên web, thường sử dụng HTTP/HTTPS ở tầng giao tiếp và kết hợp với ClearPass policy để quyết định quyền truy cập.
6. SAML v2.0
SAML v2.0 — Security Assertion Markup Language — là framework/protocol thường dùng cho Single Sign-On và identity federation.Trong ClearPass, SAML v2.0 có thể dùng cho các tình huống liên quan đến đăng nhập SSO hoặc tích hợp với identity provider. Datasheet ClearPass cũng liệt kê SAML v2.0 trong nhóm framework and protocol support.
Ví dụ:Người dùng truy cập một portal hoặc hệ thống tích hợp, sau đó được chuyển sang identity provider để xác thực. Khi xác thực thành công, thông tin danh tính được trả về để ClearPass xử lý policy.
7. RadSec — TLS encoded RADIUS
RadSec là RADIUS được mã hóa bằng TLS, hay còn gọi là RADIUS over TLS. Trong datasheet ClearPass, RadSec được mô tả là TLS encoded RADIUS.RADIUS truyền thống thường được dùng trong mạng nội bộ. Nhưng khi cần truyền xác thực qua WAN, qua môi trường phân tán hoặc qua vùng mạng không hoàn toàn tin cậy, RadSec giúp tăng tính bảo mật bằng cách sử dụng TLS để bảo vệ luồng RADIUS.
RadSec phù hợp với:
- Doanh nghiệp nhiều chi nhánh: Bảo vệ luồng RADIUS qua WAN
- Kết nối hybrid/cloud: Tăng bảo mật khi đi qua mạng ngoài
- Môi trường yêu cầu compliance: Có lớp TLS bảo vệ
8. TEAP — Tunneled EAP
TEAP — Tunneled EAP — là một phương thức EAP dạng tunnel. Datasheet ClearPass liệt kê TEAP là một thành phần được hỗ trợ.Để hiểu TEAP, cần hiểu EAP trước. Theo RFC 3748, EAP là một authentication framework hỗ trợ nhiều phương thức xác thực khác nhau.
TEAP cho phép tạo đường hầm bảo mật để thực hiện xác thực bên trong tunnel. Nó hữu ích trong các mô hình xác thực hiện đại, nơi doanh nghiệp có thể cần kết hợp xác thực người dùng, thiết bị hoặc certificate.
9. EAP-FAST
EAP-FAST là một phương thức EAP được ClearPass hỗ trợ. Theo datasheet, ClearPass hỗ trợ EAP-FAST với các inner method gồm:- EAP-MSCHAPv2
- EAP-GTC
- EAP-TLS
10. PEAP
PEAP — Protected EAP — là một phương thức EAP rất phổ biến trong môi trường Wi-Fi Enterprise hoặc 802.1X.Theo datasheet ClearPass, PEAP hỗ trợ các inner method:
- EAP-MSCHAPv2
- EAP-GTC
- EAP-TLS
- EAP-PEAP-Public
- EAP-PWD
Ví dụ:Nhân viên nhập username/password khi kết nối Wi-Fi Enterprise. Thiết bị dùng PEAP-MSCHAPv2 để xác thực thông qua ClearPass.
11. TTLS
TTLS — Tunneled Transport Layer Security — là một phương thức EAP dạng tunnel. Trong ClearPass, TTLS hỗ trợ nhiều inner method như:- EAP-MSCHAPv2
- EAP-GTC
- EAP-TLS
- EAP-MD5
- PAP
- CHAP
12. EAP-TLS
EAP-TLS là phương thức xác thực dựa trên certificate. Đây là một trong những phương thức xác thực mạnh và phổ biến trong các hệ thống enterprise yêu cầu bảo mật cao.EAP-TLS thường dùng cho:
- Laptop công ty.
- Thiết bị được cấp certificate.
- Môi trường 802.1X.
- Mô hình xác thực không dùng mật khẩu.
- BYOD đã được cấp chứng chỉ.
Ưu điểm của EAP-TLS:
- Bảo mật cao: Dựa trên certificate thay vì chỉ password
- Giảm rủi ro lộ mật khẩu: Không phụ thuộc username/password truyền thống
- Phù hợp Zero Trust: Xác thực thiết bị/người dùng chặt chẽ hơn
- Kết hợp tốt với PKI: Quản lý vòng đời chứng chỉ
13. PAP, CHAP, MSCHAPv1, MSCHAPv2 và EAP-MD5
ClearPass cũng hỗ trợ các phương thức xác thực cơ bản như:- PAP
- CHAP
- MSCHAPv1
- MSCHAPv2
- EAP-MD5
- PAP: Password Authentication Protocol, đơn giản nhưng bảo mật thấp nếu không có lớp bảo vệ
- CHAP: Challenge-Handshake Authentication Protocol
- MSCHAPv1: Biến thể Microsoft CHAP đời đầu
- MSCHAPv2: Phiên bản cải tiến, hay gặp trong PEAP
- EAP-MD5: EAP method cũ, ít được khuyến nghị cho môi trường bảo mật cao
14. OAuth2
OAuth2 là authorization framework dùng nhiều trong các hệ thống hiện đại, đặc biệt là API, cloud service và ứng dụng web. Theo RFC 6749, OAuth 2.0 cho phép ứng dụng bên thứ ba có quyền truy cập giới hạn vào HTTP service, thay mặt resource owner hoặc chính ứng dụng đó.Trong ClearPass, OAuth2 thường liên quan đến tích hợp hệ thống, API hoặc identity platform. Datasheet ClearPass liệt kê OAuth2 trong nhóm framework and protocol support.
Ví dụ: ClearPass tích hợp với một hệ thống cloud hoặc identity service thông qua cơ chế ủy quyền hiện đại, thay vì chỉ dựa vào username/password truyền thống.
15. WPA3
WPA3 là framework/chuẩn bảo mật Wi-Fi thế hệ mới hơn WPA2. Datasheet ClearPass liệt kê WPA3 trong nhóm framework and protocol support.Trong hệ thống mạng không dây doanh nghiệp, WPA3 có thể kết hợp với:
- 802.1X
- EAP
- RADIUS
- Certificate
- Role-based access
- Dynamic VLAN
16. Windows Machine Authentication
Windows machine authentication là cơ chế xác thực máy Windows, thường liên quan đến môi trường domain/Active Directory.Trong thực tế, doanh nghiệp có thể cần phân biệt:
- Máy công ty đã join domain: Có thể cấp quyền nội bộ
- Máy cá nhân: Đưa vào BYOD hoặc guest
- Máy lạ: Chặn hoặc đưa vào VLAN hạn chế
- Máy không đạt chuẩn: Đưa vào remediation/quarantine
17. SMB v2/v3
SMB v2/v3 — Server Message Block — là giao thức thường gặp trong môi trường Windows. Trong danh sách hỗ trợ của ClearPass, SMB v2/v3 được liệt kê cùng Windows machine authentication.Trong bối cảnh ClearPass, SMB v2/v3 thường liên quan đến việc tương tác với môi trường Windows/domain hoặc các luồng kiểm tra/xác thực máy Windows. Đây không phải là giao thức NAC chính như RADIUS, nhưng là thành phần hỗ trợ quan trọng khi ClearPass làm việc với hệ sinh thái Windows enterprise.
18. OCSP — Online Certificate Status Protocol
OCSP — Online Certificate Status Protocol — là giao thức dùng để kiểm tra trạng thái hiện tại của certificate. Theo RFC 6960, OCSP cho phép xác định trạng thái của chứng chỉ số mà không cần dùng Certificate Revocation List — CRL.Trong ClearPass, OCSP đặc biệt quan trọng khi triển khai:
- EAP-TLS
- Certificate-based authentication
- BYOD certificate
- Machine certificate
- User certificate
19. SNMP Generic MIB và SNMP Private MIB
SNMP — Simple Network Management Protocol — là giao thức dùng để quản lý và giám sát thiết bị mạng. Trong ClearPass, datasheet liệt kê hỗ trợ:- SNMP generic MIB
- SNMP private MIB
Trong bối cảnh ClearPass, SNMP/MIB có thể liên quan đến:
- Thu thập thông tin từ thiết bị mạng.
- Tương tác với switch.
- Hỗ trợ profiling hoặc enforcement.
- Tích hợp với hệ thống quản trị mạng.
20. CEF, LEEF và RFC5424
ClearPass cũng hỗ trợ các chuẩn/định dạng log bảo mật gồm:- CEF — Common Event Format
- LEEF — Log Event Extended Format
- RFC5424
Ví dụ:
- CEF: ArcSight, một số hệ thống SIEM
- LEEF: IBM QRadar
- RFC5424: Syslog chuẩn hóa
Bảng tổng hợp nhanh
| Thành phần | Loại | Vai trò trong ClearPass |
|---|---|---|
| RADIUS | Protocol | Xác thực, phân quyền, trả role/VLAN/ACL |
| RADIUS Dynamic Authorization | RADIUS mechanism/extension | Đổi quyền truy cập động, CoA |
| TACACS+ | Protocol | Quản trị thiết bị mạng |
| Web authentication | Authentication mechanism | Xác thực qua giao diện web |
| SAML v2.0 | SSO framework/protocol | Tích hợp Single Sign-On |
| RadSec | RADIUS over TLS | Mã hóa RADIUS bằng TLS |
| TEAP | EAP method | Tunneled EAP |
| EAP-FAST | EAP method | EAP tunnel với MSCHAPv2/GTC/TLS |
| PEAP | EAP method | Protected EAP, hay dùng với MSCHAPv2 |
| TTLS | EAP method | TLS tunnel, hỗ trợ nhiều inner method |
| EAP-TLS | EAP method | Xác thực bằng certificate |
| PAP | Authentication protocol | Xác thực mật khẩu đơn giản |
| CHAP | Authentication protocol | Challenge-response authentication |
| MSCHAPv1/v2 | Authentication protocol | Microsoft CHAP |
| EAP-MD5 | EAP method | EAP method cũ |
| OAuth2 | Authorization framework | Tích hợp API/cloud/identity |
| WPA3 | Wi-Fi security framework | Bảo mật Wi-Fi Enterprise |
| Windows machine authentication | Authentication mechanism | Xác thực máy Windows/domain |
| SMB v2/v3 | Protocol | Hỗ trợ môi trường Windows |
| OCSP | Protocol | Kiểm tra trạng thái certificate |
| SNMP generic/private MIB | SNMP management object support | Quản lý/giám sát thiết bị mạng |
| CEF | Log format | Xuất log sang SIEM |
| LEEF | Log format | Xuất log sang QRadar/SIEM |
| RFC5424 | Syslog standard | Chuẩn hóa log syslog |
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới