Tìm hiểu về Network Access Control pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (97.84 KB, 3 trang )
Tìm hiểu về Network Access Control
Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng
lớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sáng
tỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lập
những gì để đúng cho môi trường của riêng bạn.
NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình
làm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại các nhà hàng đã
triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số
điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.
Đây là một trường hợp làm việc đơn giản của NAC, bởi vì nhà hàng chỉ cung cấp
một loại hình dịch vụ mạng đơn giản – đó là truy cập Internet. Mặc dù vậy, thiết
lập như thế nào đó sẽ không giống nhau trong các môi trường, ví dụ như một
mạng của một bệnh viện chẳng hạn.
Để trả lời câu hỏi làm thế nào để chọn đúng phương pháp NAC cho mạng của bạn,
có hai điều kiện tiên quyết phải được thỏa mãn. Thứ nhất, bạn phải hiểu về những
gì NAC cung cấp có sẵn, chúng làm những gì, làm thế nào để làm được vậy và
chúng có thể tích hợp vào trong mạng như thế nào. Thứ hai, những yêu cầu cần
phải được làm sáng tỏ, sự bảo mật công ty và chính sách truy cập. Các hệ thống
NAC không tạo ra các chính sách mà chỉ ép buộc chúng. Không có các chính sách
đó, quyết định truy cập toàn bộ giữa các thành viên trở thành trách nhiệm của
phòng CNTT (vấn đề gây khó khăn rất nhiều).
Tìm hiểu NAC
Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba dạng
kiểm tra. Thứ nhất, như ví dụ trước về hot spot không dây, nó có thể được thỏa
mãn bằng cách đơn giản chỉ yêu cầu người dùng đồng ý với một chính sách sử
dụng trước khi họ kết nối vào mạng. Sự nhận dạng người dùng và trạng thái máy
không có ý nghĩa đối với việc truy cập được chấp nhận hay không.
Loại thứ hai đó là phê chuẩn tính hợp lệ của người dùng và thứ ba là phê chuẩn
tính hợp lệ trạng thái máy. Hai dạng kiểm tra hiếm khi được sử dụng cho từ chối
toàn bộ sự truy cập hoặc cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp
lệ của người dùng, sẽ có nhiều mức truy cập khác nhau đối với từng người dùng
khác nhau. Đối với các quản trị viên thì được ưu tiên ở mức truy cập toàn bộ còn
người dùng khác sẽ bị giới hạn một số ứng dụng. Trạng thái máy là trạng thái của
máy tính có liên quan đến chính sách bảo mật đã được thiết lập. Nếu chính sách đó
nằm trong một máy tính Windows đã nâng cấp các bản vá lỗi cho hệ điều hành thì
kết nối sẽ bị hạn chế cho tới khi yêu cầu bản vá được hoàn tất trong máy truy cập.
Bằng việc bảo đảm các máy phải có những yêu cầu về chính sách bảo mật, những
hỏng hóc phá hoại do các loại sâu và virus mạng có thể giảm rõ rệt.
Kết nối hạn chế mà người dùng được cho phép trước kết nối mạng hoàn chỉnh
được cho phép là một trạng thái cách ly. Trạng thái cách ly này không có nghĩa là
tất cả các truy cập đều bị khóa. Chính sách bảo mật có thể cho phép một máy đã bị
cách ly có thể truy cập và download các file phần mềm chống virus đã được cập
nhật. Khi lên kế hoạch cho việc triển khai một NAC, bạn cần phải hiểu những
phương pháp cách ly cơ bản, những hạn chế của nó và làm thế nào chúng có thể
liên kết được vứi cơ sở hạ tầng mạng của bạn.
Phương pháp cách ly
Ngay từ khi mới có mạng chia sẻ, các phương pháp cách ly thủ công đã được thi
hành bằng việc sử dụng danh sách điều khiển truy cập trên các router và switch.
Các tham số chính sách gồm có các địa chỉ nguồn và đích, TCP và cổng giao thức
gam dữ liệu người dùng, giao thức IP và địa chỉ MAC. Về phía quan điểm kiến
trúc mạng, điều này cần phải có sự bổ sung nội tuyến. Các phương pháp NAC nội
tuyến tự động hóa quá trình quản lý các danh sách điều khiển truy cập.
Phương pháp khác liên quan đến việc gán các mạng LAN ảo (VLAN) để cách ly
các máy bị cách ly với mạng công ty. Một phương pháp tương đối đơn giản là sử
dụng giao thức cấu hình host động (DHCP) để gán một client đến các mạng khác
nhau. Phương pháp này không chỉ đặt máy vào lớp 3 VLAN hạn chế mà nó còn
cho phép cấu hình client khác như các máy chủ DNS. Ví dụ, tất cả các yêu cầu
Web page có thể giải quyết ở bên trong một máy chủ Web để hiển thị chính sách
sử dụng bằng một nút “Accept” (chấp nhận)
