Home

How VPN works (especially site2site one)

May 3, 2016

Miftah Rahman Network Theory , , , , , , , , , , , , , , , , , 4 Comments

Well, another one of my note that left behind, I’ll make sure this one goes to my blog as well…

Gua buat catetan ini karena banyak konfigurasi yang ga ngerti pas lagi buat VPN…

ini command buat apaaa…kenapa harus adaaa…dsb dsb…

Make sure you read my basic VPN article first

———————————————————-

VPN Networking Protocol, the basic

There are 4 main protocols:

  • PPTP (Point-to-Point Tunnel Protocol), metode agar gimana caranya client/workstation bisa konek ke VPN (kek remote VPN gitu)
  • L2TP (Layer 2 Tunnel Protocol), metode agar gimana caranya Main Office Network bisa konek ke Branch Office network via ISP tapi dengan skema IP yang sama/network yang sama (contoh: main network pake IP 10.1.1.0~10.1.1.200, nah branch network tinggal make ip sisanya sampe 10.1.1.254…seakan2 nge-LAN gituh…walaupun beda wilayah)
  • IPsec (IP Security)…metode enkripsi untuk layer 3 (IP – internet Protocol)
  • SSL (Secure Socket Layer)…metode enkripsi untuk layer 4 keatas

Like I said…VPN networking protocol (Layer 3 in OSI Layer)…

The difference? I’ll explain it to you simply in one line: PPTP < L2TP < SSL < IPsec

Yang gunain PPTP rata2 adalah Microsoft Client (using Microsoft Windows Platform) and this protocol is a weak one (but easier to use and configure), link

Yang gunain L2TP rata2 adalah ISP…kelemahannya adalah Layer 3 ga dienkripsi (untuk itu biasanya digabung sama IPsec)

Yang gunain SSL adalah remote user untuk Remove VPN, user2 hanya perlu komputer yang support “HTTPS” (clientless, ga perlu install macem2, cukup browser aja)

Yang terakhir yang paling bagus adalah IPsec (RFC 4301)…jeleknya adalah settingannya aga banyak, plus harus disetting on both side of network, that’s why SSL more preferable in common user

——————————————————————

So…IPsec huh?

IPsec is quite complex (that’s why it secure…), why?

  • Because there must be some policy how to exchange and manage the key
  • Because there must be some protocol that can authenticate traffic
  • Or, there must be a protocol that CAN both encrypt and authenticate the traffic

From seeing above image, you’ll understand what I mean…

So, dalam membangun VPN terutama site2site…settingan IPsec pasti ada…

This guy itself support 2 encryption modes:

  • Transport mode: encrypt only payload (data), header ga diutak atik

ipsec-modes-transport-tunnel-3

  • Tunnel mode: default, more secure, header packet (inget…yg CCNA, PDU layer internet apa pada TCP/IP protocol?!?) juga di enkripsi

——————————————————–

Key Management, Policy, and Negotiation

Yup…we’re talking about IKE* (Internet Key Exchange)

Yang namanya VPN pasti ada tuker2an kunci (traffic VPN kan di enkripsi…cara buka-nya gimana…validasi peering VPN-nya juga gimana)

Nah, kita membahas how IKE works…

This protocol consist of 2 phase

  • Phase 1 (ISAKMP* Phase):
    • Specify gateway addresses (local ip buat VPN gateway traffic inbound dan remote ip VPN gateway traffic outbound)
    • Specify authentication…mau pake PSK* (pre-shared-key) atau mau pake Digital Certificate* (via CA*/PKI*)
    • Specify NAT-T* (NAT Traversal)
    • Specify Transform-set*
    • Phase 1 ada 2 mode:
      • Main Mode: more secure but slower…commonly used
      • Aggressive Mode: fast without encryption…biasanya klo salah satu IP Gateway ada yang dinamis, contoh:

    • All of those parameter above is called SA*

Don’t worry…I’ll explain those Terminology used in this article on the bottom chapter

  • Phase 2 (IPsec Phase):
    • Specify what traffic/network go through VPN (Access-list anyone?!?)
    • Specify the use of PFS*
    • Specify the proposal
      • authenticate and encrypt the traffic (ESP* – Encapsulating Security Payload)
      • or authenticate only (AH – Authentication Header), better performance-less secure
      • or both of them…AH and ESP (not common anymore, everyone prefers ESP now)
    • Specify Expiry Date…for Key and Session

Nah, IKE itu ada 2 versi…versi jadul yaitu IKEv1 dan versi robust and flexible one which called IKEv2

—————————————————————

IKEv1 and v2

IKEv1

  • Defined in RFC 2409
  • Use UDP port 500
  • Using “Phased” approach (ISAKMP – RFC 2408 on phase 1)

IKEv2

  • One of the document is RFC 4306 and RFC 5996
  • Same…use UDP port 500, and port 4500
  • Not backward compatible to IKEv1
  • Using Child SA instead of phase
  • Fewer exchanges data to form than IKEv1
  • Has built-in DPD*
  • Resistant to DoS attack because of cookie mechanism
  • Has built-in NAT-T
  • Can be used with EAP*

3 steps in IKEv2 exchange messages:

  • IKE_SA_INIT: tuker2 proposal SA sama peer, klo match…ke step selanjutnya (klo di IKEv1, mm-main mode alias phase 1-nya udah 4x bolak balik transaksi peering VPN)
  • IKE_AUTH & CREATE_CHILD_SA: authentikasi peers dan bikin child SA (ini kek Phase 2 di IKEv2, qm-quick mode)
    • CHILD_SA ini berguna untuk notifikasi peer mati, keepalive, authentication message, bikin key baru/rekeying dll
    • Klo ga ada child_sa, berarti balik lagi ke phase 1…repot
    • Ini artinya lebih cepet connect/reconnect-nya

IKEv2 provide better DoS prevention

Di IKE…hacker bisa ngirim SPI* (lets say peer initiation) to victim router with many spoofed IP address, hasilnya…consume CPU resources karena banyak “half open” initiation yang masuk, klo ga ada mekanisme prevention DoS…maka ketika victim router establish connection ke router peer DENGAN SPI/KEY YANG DIKASI HACKER…wassalam, ketauan semua isinya, soalnya hacker bisa generate sendiri key-nya (orang dia yang bikin) plus bisa decrypt traffic pake kunci itu

Di IKEv2, mereka pake cookies pas pertama kali peering VPN (ada semacam fingerprint lah)…jadi klo hacker ngirim SPI intended for man-in-the-middle attack…si victim router tinggal ngomong…”bener ga lu ngirim ginian?
Ke router asli-nya….karena router asli-nya punya cookie pas pertama kali peering…tinggal di cek…klo salah, di drop

Nah, di Cisco…mereka punya teknologi yang bernama FlexVPN* that relies heavily on IKEv2…

—————————————————————

Terminology

ISAKMP (Internet Security Association and Key Management Protocol): this is a framework…of protocol, kek lu mau masuk ke istana Negara…pasti ada protocol yang harus dipenuhi sebelum lu bisa masuk, nah protocol2 itu kan ga Cuma 1…pasti ada parameter2 lain yang harus dipenuhi. Kumpulan protocol2 ini di VPN dinamakan SA (security association)

Framework: i might have to explain this because I’ve used this words many times…klo protocol itu aturan, nah framework itu adalah kumpulan peraturan2

PSK (Pre-shared-key): think this as a password or key to enter a door…password being said must exactly same like password remembered by door guard (key also…must match in order to unlock the door), lawannya PSK? Digital Certificate

Digital Certificate: tired remembering all the password for site A, site B, site C, and so on…?? Or exhausted from bringing all keys in “Key-chain” to unlock all the doors?…this is the solution, it like ID Card for US…as long as You (as ID Card bearer) and Door Guard recognize the Card (who made it of course) then you ready to go…

PKI (Public Key Infrastucture): this is a framework explaining how to create digital certificate, which mentioned above

CA (Certificate Authority): ini server yang bikin digital certificate, dia yang bikin, dia juga yang verifikasi keasliannya

RA (Registration Authority): ini optional, klo lu mau CA cuma bikin sertifikat dan yang nge-cek validitasnya server lain…si RA ini untuk ngecek validitas certificate-nya

CRL (Certificate Revocation List): ini serial number-nya certificate…di dalemnya ada masa berlaku ini sertifikat (expiry date)

SCEP (Simple Certificate Enrollment Protocol): Cisco punya, kek PKI Framework-nya Cisco…simple, Cuma pake HTTP untuk ngirim dan nerima request dan sertifikat

NAT-T (NAT Traversal): NAT and IPsec is not compatible each other, NAT itu kan ganti IP…jelas akan break salah satu rules dari VPN yaitu integrity (make sure data hasn’t been changed). NAT-T ini bikin header UDP di”depan”nya IPsec…jadi yang dibaca UDP NAT-nya dulu bukan IPsec-nya…both side harus aware klo mereka pake NAT-T (bahasa mudahnya…2-2nya harus dienable NAT-T klo mau pake VPN). Workaround for NAT-T? just use IP PUBLIC on your Firewall/Gateway

SA (Security Association): men-define mau pake apa enkripsinya, integritynya (hashing), bikin key sama tuker2annya mau pake apa

  • Encryption mode: aes, des, 3des
  • Hashing mode: md5 atau sha
  • Key exchange mechanism: DH = diffie-hellman, all variant
  • Expiry date untuk key-nya

Transform Set: isinya adalah metode yang akan digunakan oleh IPsec…mau pake ESP apa AH

PFS (Perfect Forward Secrecy): ensure itu VPN peer ga make key yang sama klo mau bikin session VPN baru

ESP (Encapsulation Security Payload): defined in RFC 4303 using IP Protocol* 50, isinya bagaimana caranya kita bisa authenticate dan encrypt itu traffic lewat VPN

IP Protocol: tipe2 sub-protocol didalam IP itu sendiri, contoh: 50 – ESP, 51 – AH, 46 – RVSP buat QoS, dll…(link)

AH (Authentication Header): more fast but less secure than ESP, only authenticate header with no encryption

DPD (Dead Peer Detection): teknologi untuk memastikan VPN peering kita ga down…kek IP SLA-nya VPN lah (default di IKEv2 sudah bisa setting ginian, ga perlu konfigurasi khusus kek di IKEv1)

EAP (Extensible Authentication Protocol): sebuah framework untuk extend PPP protocol yang mengatur bagaimana caranya mengauthentikasi user (bisa pake password, AAA, LEAP-nya Cisco, EAPOL-nya ethernet LAN, dll)

SPI (Security Parameter Indexes): mekanisme identifikasi SA ke packet yang datang (besarnya 32 bit)

——————–

References:

ISAKMP – https://tools.ietf.org/html/rfc2408

IKE – https://www.ietf.org/rfc/rfc2409.txt

Security Architecture for IP – https://tools.ietf.org/html/rfc4301

IPsec – https://tools.ietf.org/html/rfc4303

IKEv2 – https://tools.ietf.org/html/rfc4306

IKEv2 Updated – https://tools.ietf.org/html/rfc5996

http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

https://tools.ietf.org/html/draft-ietf-ipsec-ikev2-tutorial-01

http://www.juniper.net/documentation/en_US/junos12.3×48/topics/concept/vpn-security-ikev2-understanding.html

http://security.stackexchange.com/questions/56434/understanding-the-details-of-spi-in-ike-and-ipsec

https://supportforums.cisco.com/document/21746/what-extensible-authentication-protocol

https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

CCNP Security SIMOS powerpoint slide

Cisco ISE (Identity Service Engine) Overview

November 1, 2014

Miftah Rahman Security , , , , , , , , , , , , , , , , , , , , , , , 2 Comments

Cisco ISE adalah Appliance terbaru dari Cisco (Per 2011), yang digadang2 bakal gantiin Cisco ACS (Access Control System)

Dia bukan hanya AAA Server, tapi sudah menjadi NAC (Network Admission Control) Server

Bahkan track CCNP Security akhir tahun 2013 diganti versi baru demi mengakomodir Appliance Cisco yang bernama ISE ini

Tulisan ini mengulas lebih dekat tentang CCNP Sec course track yang berjudul “Implementing Cisco Security Access Solutions – SISAS (300-208)

Apa aja sih yang dipelajarin di course track CCNP Sec ini, dan btw…

cara nyebut ISE itu apa sih…Cisco “AIS” kah atau Cisco “ISE” ala Indonesia hahaha

==============================

Cisco ISE Fundamentals

Apa sih bagusnya ISE dibanding ACS?

Klo diliat dari table diatas…dia punya Profiling dan Service untuk Guest

Apaan tu Profiling dan Guest Service? Kita liat teknologi2 yang dipunyai ISE

Cisco ISE Technologies

  • Guest Access: gw pengen bedain network buat guest dan buat employes ketika konek kejaringan, baik wire atau wireless
  • Profiler: gw pengen bedain network service PC inventaris kantor dan Laptop/HP/IPAD yang dibawa employe, BYOD (bring your own device) service
  • Posture: gw pengen PC inventaris kantor yang sudah terdaftar di employee network (trusted device), ga disalahgunakan (contohnya buat akses server2 tertentu)
  • MACsec: gw pengen informasi layer 2 seperti mac address di enkripsi
  • Security Group Access (SGA): gw pengen lebih mudah enfore policy ke beberapa orang (contohya grouping user)
  • IdentityBased Firewall: gw pengen firewall policy gw tidak hanya bergantung pada IP address aja, gw pengen user dan/atau machine dikasih policy juga

Nah, ISE ini sangat mengandalkan 802.1x authentication untuk menjalankan fungsi2 diatas

Kok bisa? Ya Cuma dot1x (802.1x, biar gampang nulisnya) protocol yang bisa nge-push/pull konfigurasi dari ISE (atau ke arah ISE)

Imagine…if user plug into the switchport, and then based-on the information provided (such as userpass), the switch downloaded ACL and VLAN configuration form ISE to itself. So the user get appropriate VLAN and ACL…

Kok bisa switchnya “nge-write” config diri sendiri?? Ya itu…syaratnya adalah itu switch harus capable untuk 802.1x protocol (switch2 unmanaged dan switch2 versi lama ga support)

DAN….harus support RADIUS CoA (change of authorization, RFC 5176), jadi ga bisa radius tok…

Why CoA?? Ya itu…radius kan buat AAA, klo user/alatnya (machine) ganti…network dengan radius biasa ga bisa adapt dengan hal itu…maka dibuatlah IETF RFC 5176 alias Radius CoA

Here’s the link to that Radius CoA (baca abstract-nya aja…uda ngerti kok lu pasti)

Trus klo kek printer dan fax yang ga ada fitur 802.1x gimana? Pake MAB (Mac Address Bypass), jadi itu printer di bypass authentikasinya, tapi begitu port itu dipake oleh yg bukan printer…enforce dot1x

Lu bisa bilang 802.1x ini versi advanced-nya Switchport Port-security lah

=================================

Port-Based Authentication that called 802.1x

Yang mau gw bahas disini adalah 802.1x dalam kaitannya dengan implementasi ISE

Cisco support 3 mode untuk 802.1x implementation: Monitor mode, Low Impact mode, dan Closed Mode

  • Monitor Mode: cocok buat PoC (proof of concept) dan initial implementation/deploying, karena mempunyai fitur bypass failed authentication (tapi tetep ada log-nya), so…kita bisa tau mana konfigurasi kita yang salah tanpa harus bikin existing production network down
  • Low Impact Mode: klo kesalahan2 di monitor mode sudah diselesaikan, kita bisa naek level ke tahap Low Impact, dimana semua konfig (atau user2 yang failed untuk login ke network) tetep bisa masuk jaringan, tetapi akan dikasi ACL (tepatnya dACL, penjelasan dibawah)
  • Closed Mode: full deployment, sebelum authentikasi berhasil…ga ada yang bisa masuk ke jaringan

Karena dot1x ini menganalisa layer 2 di port, berarti ada beberapa mode host

Klo pake VMWare Server (ato pake PC yang ada VMWare-nya) trus konek ke jaringan…cocoknya pake Multi Auth mode

=================================

Cisco ISE Encrypted Communication

Komunikasi Cisco ISE menggunakan EAP (Extensible Authentication Protocol)…tepatnya EAPOL (EAP over LAN, soalnya EAP sendiri bukan protocol, it’s a framework) yang digunakan oleh 802.1x

Klo mau baca tentang EAP itu sendiri – RFC 5247 (baca aja di bab 1.3)

Nah, EAPOL sendiri itu protocol yang isinya 3 personel: Supplicant, Authenticator, Authentication Server

Jadi konsep 802.1x itu…semua port unauthorized, mereka yang mau konek ke port harus kirim protocol EAPOL dulu baru bisa konek (itupun klo di granted request)

Contoh proses negosiasi EAPOL:

Nah, celakanya…negosiasi EAP didalam radius ini dikirim clear text (kayak telnet tanpa SSH)…so, kita harus enkripsi itu EAP dengan Protected EAP (PEAP) atau EAP-FAST

EAP-FAST pake pre-shared key (PSK), klo PEAP pake PKI Server (CA)

Nah, ISE punya 2 metode authentikasi:

  • User Authentication
  • Machine Authentication

Jadi, ISE bisa bikin EAP Chaining (bikin supaya yang mau masuk harus di allow baik dari user maupun machine)

Bisa jadi…user di granted access, tapi ga bisa masuk ke Server Network gara2 aksesnya pake Android (Machine Authentication ga match)

Bisa jadi…PC inventaris kantor di granted akses ke Server Network, tapi di blok gara2 username salah (User Authentication ga match)

=================================

Cisco ISE Services that called “Persona”

(gw sendiri bingung kenapa Cisco pake istilah aneh2 lagi…yang lama2 aja uda pusing gw ngapalinnya)

Service dari Cisco ISE dibagi menjadi 3:

  • Administrasi: configure policy ya disini
  • Policy Services: disini “engine” untuk menentukan policy yang cocok untuk diterapkan ke user/machine (berdasarkan parameter2 tentunya)
  • Monitoring: ya monitor, bisa buat syslog server

Dari sini bisa kita lihat, yang berat kerjanya ya di Policy Services Persona…artinya kita bisa bikin beberapa server ISE dengan fungsi yang berbeda2

Cisco ISE Support Internal Authentication (di Server ISE itu sendiri) dan External Authentication (sync dengan ActiveDir maupun LDAP)

Bahkan bisa ngasi sequence…jadi klo server ActiveDir ga bisa diakses, dia bisa pindah ke LDAP, trus pindah ke internal authentication (bisa diatur juga ke siapa duluan yang konek)

Note: untuk ActiveDir, perbedaan waktu antara dia dan ISE maximum 5 menit (NTP Server is a must jadinya…ga tau kenapa harus 5 menit), ga support NAT, dan beberapa port harus dibuka (klo ini disisi FIREWALL-nya), dan ActiveDir juga bisa diakses secara LDAP (bukan native)…konsekuensinya: slower performance, attribute untuk sync sedikit, tapi bisa join multiple directories (klo native Cuma 1 single directory dan searchnya bisa up and down the directory tree)

============================================

How ISE Works

Policy Elements dalam ISE ada 3:

  • Condition
    • Simple Condition: [DICTIONARY][OPERAND][VALUE]

      Contoh: [device type=android] [EQUALS] [WIRELESS] = RESULT [apply web authentication]

    • Compound Condition: 2 simple condition atau lebih yang digabung dengan OPERAND [AND atau OR]
  • Dictionary: list apa aja yang mau di authen, author, dan accounting
  • Results: efek dari condition yang match…bisa di allow masuk ke jaringan, bisa dikasi ACL, atau bisa enforce end device untuk install agent (kek Cisco AnyConnect)

Salah satu result-nya adalah dikasi dACL (discretionary ACL): begitu user/machine konek ke jaringan (switch/AP), berdasarkan profile…ACL tertentu akan di terapkan di port yang bersangkutan (di AP, klo pake WLC)

contoh di ISE:

Nanti akan dipush ke port di Switch (tergantung fail atau tidaknya authentikasi)

(ACL-nya beda…yang satu full access, yang satu restricted…tandanya…GUE SALAH CONFIG HAHAHA)

Atau akan diredirect ke Guest Portal (URL redirection ke IP-nya ISE Server), suruh daftarin dulu device dia (klo device/machine authentication ga match alias dia ga dikenalin oleh ISE, tapi userpass-nya authentication-nya match)

Atau bikin userbaru di Sponsor Portal (cocok buat hotel2 atau tempat2 yang membutuhkan account temporary buat client/end user), jadi admin tinggal browsing ke IP Sponsor Portal (IP-nya ke ISE juga), add user dari sono

===================================

Cisco ISE with TrustSec

Apa sih Cisco TrustSec itu? Sebuah cara dari Cisco agar setiap traffic dikasi TAG (stempel), jadi setiap NAD (network access devices) dapat menentukan ACL mana yang dipake secara appropriate

Here’s how it work:

Jadi system Cisco TrustSec itu mengubah security jaringan menjadi Role-Based (contoh: Marketing hanya bisa akses marketing data, Engineer bisa akses semua)

Key dari TrustSec itu ada 3: SGT, SGACL, dan 802.1AE (MACsec)

  • SGT (security group tag): begitu traffic masuk (ingress) ke port switch (yang bisa 802.1x), traffic itu akan dikasi tag (kek VLAN Tag, bedanya ini untuk security ACL)
  • SGACL (security group ACL): nah, SGT yang masuk ke switch (contoh SGT dengan TAG value 3) akan nerusin ke Radius Server (ISE), berdasarkan tag yang ada di server, TAG nomor 3 dimapping dengan SGACL nomor 3 (contoh: hanya di permit untuk masuk marketing server), nanti di push itu dACL ke switch
  • MACsec (802.1AE): untuk mencegah hacker intercept data di layer 2 (termasuk ngakalin SGT nya), maka traffic antar switch di enkripsi
    • SGFW: klo ga mau lempar ke server itu SGT, lempar ke Cisco ASA aja (Security Group Firewall)

So…Security nya lebih flexible (daripada lu harus manual ngetik ACL satu-satu ditiap NAD) dan lebih simple dalam administrasi (policy definition dan maintenance)

802.1AE frame lebih detailnya:

Jadi SGT di carry di Cisco TrustSec Meta Data header

Untuk perform MACsec, tiap switch harus dikonfig (ya…ngonfig CLI lagi) NDAC (Network Device Admission Control) supaya perfom MKA (MACsec Key Agreement) untuk nentuin MACsec key (dulu namanya SAP – Session Authentication Protocol)

Tenang aja ga akan lemot, soalnya yang perform adalah ASIC component inside the Switch itself

Conton config Cisco TrustSec (CTS) di switch, trus mapping deh ke ISE/ASA (konfignya sebenernya banyak):


Itu SGT berarti di switch Cisco yg bisa 802.1x plus bisa TrustSec ya? Ya, trus klo ngelewatin switch yang ga capable gimana? SGT Exchange Protocol

Jadi SGT-nya di carry di layer 3 (IP-to-SGT mapping), trus lewat TCP port 64999 (so…jgn di block di firewall ya port ini)

===========================

Cisco ISE Posture and Profile Services

Cisco ISE bisa mendeteksi “posture” client sebagai berikut:

  • Deteksi OS apa yang dipakai
  • Deteksi Anti-Virus apa yang dipakai
  • Deteksi akses jaringan mana yang dipakai (wire/wireless)
  • Deteksi “health” dari end device kita (recently updated OS/Anti-Virus or not)
  • Dll

Nah, berdasarkan posture ini kita bisa nyuruh ISE untuk enfore policy ke client/user, seperti:

sory, user dengan WinXP tidak boleh masuk ke jaringan” (banyak bug)

anti-virusnya tolong update dulu…baru bisa masuk ke jaringan

tolong pake AnyConnect untuk masuk ke jaringan

dilarang pake Internet Explorer untuk browsing ke ISE atau ke Web2 tertentu

Dll…

Nah, klo aturan2 tersebut match/compliant…grant access, Klo non-compliant…enforce security policy

Klo unknown…redirect ke client provisioning portal (guest access, suruh daftarin IPAD/BB/Android punya dia klo mau akses lewat jaringan kantor yang ada ISE-nya – bikin Profile/Profiling)

Contoh kita pake Persistent Agent seperti Cisco NAC Agent (download aja):

Atau mau pake Web Agent:

Contoh Cisco ISE Profile Configuration:

Dari sini kita bisa ambil kesimpulan bahwa di ISE kita bisa bikin Parent Profiling (contoh: Apple Device, check apakah mac address/OUI dari device ini bener2 dari Apple) dan bikin Child Profiling (contoh: berdasarkan Parent profile bernama “Apple Device”, kita pengen lebih specific…IPAD kah? OS X kah? Pake web browser safari kah?)

============================================

Reference:

Implementing Cisco Security Access Solutions – SISAS (300-208) Instructor Guide.pdf

RFC 5176 (RADIUS CoA) – https://tools.ietf.org/html/rfc5176

RFC 5247 (EAP) – http://tools.ietf.org/html/rfc5247#section-1.3

Fundamental of Cisco TrustSec (Youtube Video) – https://www.youtube.com/watch?v=78-GV7Pz18I

Understanding EAP – https://www.youtube.com/watch?v=3co6j0Rhm4E

Cisco ISE – http://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html

MACsec MKA and SAP – http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/deploy_guide_c17-663760.html