Cisco Eap Fast Module là gì? Có nên gỡ bỏ không?

Khi sử dụng máy tính, bạn có thể bắt gặp nhiều phần mềm hoặc module được cài đặt sẵn mà không thực sự hiểu rõ chức năng của chúng. Một trong những module mà bạn có thể đã gặp phải là Cisco EAP-FAST Module thường đi kèm với một số ứng dụng mạng hoặc bảo mật. Có rất nhiều người dùng thắc mắc liệu module này có vai trò gì và có cần thiết phải giữ lại trên hệ thống hay không. Hãy cùng Việt Tuấn tìm hiểu Cisco EAP-FAST Module là gì, chức năng và có nên gỡ bỏ hay không.

Cisco Eap Fast Module là gì?

Cisco EAP-FAST là một module được phát triển bởi Cisco Systems, viết tắt của Extensible Authentication Protocol - Flexible Authentication via Secure Tunneling (Giao thức xác thực mở rộng - Xác thực linh hoạt thông qua đường hầm bảo mật). Đây là một giao thức cung cấp khả năng xác thực an toàn và hiệu quả cho các mạng không dây.

Module Cisco EAP-FAST sử dụng TLS để tạo ra một đường hầm được xác thực hai chiều. Dữ liệu được truyền dưới dạng các đối tượng TLV (Type, Length, Value) để phục vụ cho quá trình trao đổi thông tin xác thực giữa client và máy chủ.

EAP-FAST hỗ trợ phần mở rộng TLS được định nghĩa trong RFC 4507 nhằm cho phép tái thiết lập nhanh đường hầm bảo mật mà không cần máy chủ phải duy trì trạng thái cho từng phiên làm việc. Các cơ chế dựa trên EAP-FAST cũng được xây dựng để cung cấp thông tin xác thực cần thiết cho phần mở rộng TLS này. Những thông tin xác thực đó được gọi là PAC (Protected Access Credentials).

Các tính năng của Cisco Eap Fast Module

EAP-FAST cung cấp các tính năng sau:

• Xác thực hai chiều: Máy chủ EAP phải có khả năng xác minh danh tính và tính hợp lệ của client, đồng thời client cũng phải xác minh được tính xác thực của máy chủ EAP.
• Chống lại tấn công dò mật khẩu thụ động: Nhiều giao thức xác thực yêu cầu client cung cấp mật khẩu cho máy chủ EAP. Việc truyền các thông tin xác thực yếu như mật khẩu phải được bảo vệ, tránh bị nghe lén.
• Chống tấn công trung gian: Trong quá trình thiết lập đường hầm bảo mật có xác thực hai chiều, giao thức phải ngăn chặn kẻ tấn công chèn hoặc can thiệp thông tin vào quá trình giao tiếp giữa client và máy chủ EAP.
• Tính linh hoạt hỗ trợ nhiều cơ chế xác thực mật khẩu: Có nhiều phương thức xác thực khác nhau để kiểm tra client, ví dụ như MS-CHAP, LDAP hoặc OTP. EAP-FAST hỗ trợ tích hợp và sử dụng các phương thức xác thực này.
• Hiệu quả về tài nguyên tính toán và năng lượng: Đặc biệt trong môi trường mạng không dây, các thiết bị client thường bị giới hạn về khả năng xử lý và năng lượng. EAP-FAST giúp quá trình giao tiếp truy cập mạng diễn ra hiệu quả hơn, giảm tải cho thiết bị.

• Tính linh hoạt trong việc mở rộng giao tiếp bên trong đường hầm: Khi hạ tầng mạng ngày càng phức tạp, các phương thức xác thực, phân quyền và ghi nhận (AAA) cũng trở nên phức tạp hơn. EAP-FAST cho phép mở rộng linh hoạt các cơ chế giao tiếp bên trong đường hầm bảo mật. Trong một số trường hợp, cần kết hợp nhiều giao thức xác thực khác nhau để đạt được xác thực hai chiều. Ngoài ra, có thể cần nhiều phiên trao đổi bảo mật khác nhau để đảm bảo việc cấp quyền phù hợp sau khi client đã xác thực thành công. 
• Giảm yêu cầu lưu trữ trạng thái trên máy chủ xác thực theo từng người dùng: Trong các hệ thống triển khai lớn, thường có nhiều máy chủ xác thực phục vụ nhiều client. Client sử dụng một khóa bí mật dùng chung để thiết lập đường hầm bảo mật, tương tự như việc dùng username và password để truy cập mạng. EAP-FAST hỗ trợ sử dụng một khóa bí mật mạnh duy nhất cho client, đồng thời giúp máy chủ xác thực giảm thiểu việc phải lưu trữ và quản lý thông tin trạng thái cho từng người dùng và thiết bị.

Cách hoạt động của Cisco Eap Fast Module

Xác thực đường hầm hai giai đoạn

EAP-FAST sử dụng cơ chế xác thực gồm hai giai đoạn.

Trong giai đoạn đầu, EAP-FAST sử dụng quá trình TLS Handshake để thực hiện trao đổi khóa có xác thực và thiết lập một đường hầm bảo mật giữa client và máy chủ xác thực. Đường hầm này giúp bảo vệ thông tin định danh của client, tránh bị lộ ra bên ngoài. Trong quá trình này, client và server cũng thực hiện thương lượng phiên bản EAP-FAST để đảm bảo cả hai đang sử dụng phiên bản giao thức tương thích.

Sau khi đường hầm được thiết lập, giai đoạn xác thực thứ hai bắt đầu. Client và server tiếp tục trao đổi thông tin để thiết lập các chính sách xác thực và phân quyền cần thiết. Giai đoạn này bao gồm một chuỗi các yêu cầu và phản hồi được đóng gói dưới dạng các đối tượng TLV. Quá trình trao đổi TLV cũng xác định phương thức EAP sẽ được sử dụng bên trong đường hầm bảo mật. 

Thông tin xác thực truy cập được bảo vệ (PAC)

PAC là các thông tin xác thực được cấp cho client nhằm tối ưu hóa quá trình xác thực mạng. PAC có thể được sử dụng để thiết lập đường hầm xác thực giữa client và máy chủ xác thực, tương ứng với giai đoạn đầu trong cơ chế xác thực hai giai đoạn của EAP-FAST. Một PAC có thể bao gồm tối đa ba thành phần: khóa chia sẻ, thành phần Opaque và các thông tin khác.

Thành phần khóa chia sẻ chứa khóa bí mật dùng chung giữa client và máy chủ xác thực, được gọi là PAC-Key. Khóa PAC-Key được sử dụng để thiết lập đường hầm bảo mật trong giai đoạn đầu của quá trình xác thực.

Thành phần opaque được cung cấp cho client và sẽ được gửi lại cho máy chủ xác thực khi client yêu cầu truy cập tài nguyên mạng. Thành phần này được gọi là PAC-Opaque, là một trường có độ dài biến đổi và được truyền trong quá trình thiết lập đường hầm. Máy chủ EAP sẽ sử dụng PAC-Opaque để lấy các thông tin cần thiết nhằm xác minh danh tính và quá trình xác thực của client. PAC-Opaque bao gồm PAC-Key và có thể chứa thông tin định danh của client.

PAC cũng có thể chứa các thông tin khác, được gọi là PAC-Info. Đây là trường có độ dài biến đổi, dùng để cung cấp tối thiểu thông tin về thực thể cấp PAC (ví dụ: máy chủ tạo PAC). Ngoài ra, các thông tin không bắt buộc như thời gian hiệu lực của PAC-Key cũng có thể được máy chủ gửi đến client trong quá trình cấp phát hoặc làm mới PAC.

PAC được tạo và cấp phát bởi một thực thể có thẩm quyền như Cisco Secure ACS và được định danh bằng một ID. Người dùng sẽ nhận PAC từ máy chủ, và ID này liên kết PAC với một hồ sơ cụ thể.

Tất cả PAC đều được mã hóa và gắn với thiết bị thông qua Microsoft Crypto API, vì vậy không thể sao chép PAC sang máy khác để sử dụng. Các PAC không lưu trữ lâu dài như User Authorization PAC, chỉ được lưu trong bộ nhớ tạm và sẽ bị xóa sau khi khởi động lại máy hoặc khi người dùng đăng xuất.

Xác thực chứng chỉ máy chủ

Trong quá trình thương lượng TLS ở giai đoạn đầu của xác thực EAP-FAST, máy chủ xác thực sẽ cung cấp cho client một chứng chỉ số. Client có trách nhiệm kiểm tra tính hợp lệ của chứng chỉ này, bao gồm việc xác minh xem chứng chỉ có đáng tin cậy hay không.

Ngoài ra, client cũng kiểm tra tên của máy chủ EAP được cung cấp trong chứng chỉ để xác định xem máy chủ đó có thực sự là đối tượng đáng tin cậy hay không. 

Có nên gỡ Cisco EAP-FAST Module không?

Câu trả lời phụ thuộc vào nhu cầu sử dụng của bạn. Nếu bạn đang sử dụng các thiết bị hoặc giải pháp của Cisco, thì module Cisco EAP-FAST có thể cần thiết để hỗ trợ quá trình xác thực mạng. Ngoài ra, nếu máy tính của bạn đang kết nối vào mạng domain (mạng doanh nghiệp), module này cũng có thể cần thiết trên các hệ điều hành như Windows 10, 8 hoặc 7.

Tuy nhiên, nếu bạn không sử dụng thiết bị Cisco và cũng không cần đến EAP-FAST để đảm bảo bảo mật cho mạng domain, nhưng chương trình này vẫn xuất hiện trên hệ thống, bạn hoàn toàn có thể gỡ bỏ. Bên cạnh đó, trong trường hợp module EAP-FAST gây ra lỗi hệ thống hoặc lỗi nghiêm trọng trên Windows, việc xóa nó cũng là một giải pháp nên cân nhắc.

Kết luận

Tóm lại, Cisco EAP-FAST Module là một thành phần quan trọng giúp tăng cường bảo mật trong quá trình xác thực mạng, đặc biệt trong các môi trường doanh nghiệp sử dụng hạ tầng của Cisco. Với khả năng thiết lập kênh truyền an toàn và hỗ trợ xác thực nhanh chóng, module này góp phần đảm bảo dữ liệu được bảo vệ hiệu quả trước các nguy cơ xâm nhập.