ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA ĐIỆN – ĐIỆN TỬ
BỘ MÔN VIỄN THÔNG
LUẬN VĂN TỐT NGHIỆP
TÌM HIỂU VỀ NETWORK ACCESS CONTROL
VÀ ỨNG DỤNG FREENAC
GVHD: TS. LƯU THANH TRÀ
SVTH: NGUYỄN XUÂN THẮNG
MSSV: 40702267
Tp HCM, Tháng 6/2012
1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Thành phố Hồ Chí Minh Độc Lập – Tự Do – Hạnh Phúc
     
Số:______/BKĐT
Khoa: Điện – Điện tử
Bộ Môn: Viễn Thông
NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP
Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267
Ngành: VIỄN THÔNG LỚP: DD07DV3
1. Đầu đề luận văn: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC”
2. Nhiệm vụ ( Yêu cầu về nội dung và số liệu ban đầu):




3. Ngày giao nhiệm vụ luận văn:
4. Ngày hoàn thành nhiệm vụ:
5. Họ và tên người hướng dẫn: Phần hướng dẫn

Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn.




Ngày tháng năm 2012
CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH
(Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên)
PHẦN DÀNH CHO KHOA, BỘ MÔN:
Người duyệt (chấm sơ bộ):
Đơn vị:
Ngày bảo vệ:
Điểm tổng kết:
Nơi lưu trữ luận văn:
TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA ĐIỆN – ĐIỆN TỬ Độc Lập – Tự Do – Hạnh Phúc
o0o
Ngày tháng năm 201…
PHIẾU CHẤM BẢO VỆ LVTN
(Dành cho người hướng dẫn)
Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267
Ngành: VIỄN THÔNG LỚP: DD07DV3
1. Đề tài: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC”
2. Họ tên người hướng dẫn: TS. LƯU THANH TRÀ
3. Tổng quát về bản thuyết minh:
Số trang Số chương
Số bảng số liệu Số hình vẽ
Số tài liệu tham khảo Phần mềm tính toán
4. Tổng quát về các bản vẽ:
- Số bản vẽ: bản A1 bản A2 khổ khác

- Số bản vẽ tay - Số bản vẽ trên máy tính
5. Những ưu điểm chính của LVTN:



6. Những thiếu sót chính của LVTN:



7. Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ ,
Không được bảo vệ .
8. 3 câu hỏi sinh viên trả lời trước Hội Đồng:
a)
b)
c)
9. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm …………………….
Ký tên (ghi rõ họ tên)
TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA ĐIỆN – ĐIỆN TỬ Độc Lập – Tự Do – Hạnh Phúc
o0o
Ngày tháng năm 201…
PHIẾU CHẤM BẢO VỆ LVTN
(Dành cho người phản biện)
Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267
Ngành: VIỄN THÔNG LỚP: DD07DV3
10. Đề tài: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC”
11. Họ tên người phản biện:
12. Tổng quát về bản thuyết minh:
Số trang Số chương
Số bảng số liệu Số hình vẽ

Số tài liệu tham khảo Phần mềm tính toán
13. Tổng quát về các bản vẽ:
- Số bản vẽ: bản A1 bản A2 khổ khác
- Số bản vẽ tay - Số bản vẽ trên máy tính
14. Những ưu điểm chính của LVTN:



15. Những thiếu sót chính của LVTN:



16. Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ ,
Không được bảo vệ .
17. 3 câu hỏi sinh viên trả lời trước Hội Đồng:
a)
b)
c)
18. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm …………………….
Ký tên (ghi rõ họ tên)
LỜI CẢM ƠN
Lời đầu tiên, em xin gửi đến Thầy, TS. Lưu Thanh Trà lời cảm ơn chân thành và sâu sắc
nhất. Nhờ có sự hướng dẫn và giúp đỡ tận tình của Thầy trong suốt thời gian qua, em đã có thể
thực hiện và hoàn thành Đồ Án Môn Học 1 và 2, Thực Tập Tốt Nghiệp và Luận Văn Tốt Nghiệp.
Những lời nhận xét, góp ý và hướng dẫn tận tình của Thầy đã giúp em có một định hướng đúng
đắn trong suốt quá trình thực hiện Đề tài, giúp em nhìn ra được những ưu khuyết điểm của Đề tài
và từng bước hoàn thiện hơn.
Đồng thời, em xin trân trọng cảm ơn các Thầy Cô của Trường Đại Học Bách Khoa nói
chung và của khoa Điện - Điện Tử nói riêng đã dạy dỗ em suốt quãng thời gian ngồi trên ghế
giảng đường Đại học. Những lời giảng của Thầy Cô đã trang bị cho em nhiều kiến thức và giúp

em tích lũy thêm kinh nghiệm.
Bên cạnh đó, con cũng chân thành cảm ơn sự động viên và sự hỗ trợ của gia đình và cha
mẹ trong suốt thời gian học tập. Đặc biệt, con xin gửi lời cảm ơn trân trọng nhất đến cha mẹ,
người đã sinh ra và nuôi dưỡng con nên người. Sự quan tâm, lo lắng và hy sinh lớn lao của cha
mẹ luôn là động lực cho con cố gắng phấn đấu trên con đường học tập của mình. Một lần nữa,
con xin gửi đến cha mẹ lòng biết ơn sâu sắc nhất.
Cuối cùng, tôi xin cảm ơn sự hỗ trợ và giúp đỡ của bạn bè trong thời gian học tập tại
Trường Đại Học Bách Khoa và trong quá trình hoàn trình hoàn thành Luận Văn Tốt Nghiệp này.
Hồ Chí Minh, ngày 13 tháng 6 năm 2012
NGUYỄN XUÂN THẮNG
5
TÓM TẮT LUẬN VĂN
Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và
virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết
hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạ
tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.
Trong khuôn khổ luận văn, em xin tập trung vào việc tìm hiểu Network Access Control
(Kiểm soát truy cập mạng) và ứng dụng FreeNAC. Các hãng lớn như Cisco, Juniper,
ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêng
mình. Nhưng đối với Việt Nam thì các sản phẩm này vẫn rất đắt tiền. Vì thế một ứng dụng mã
nguồn mở như FreeNAC là thực sự đáng xem xét.
Sinh viên thực hiện
NGUYỄN XUÂN THẮNG
6
MỤC LỤC
Đề mục Trang
Trang bìa i
Nhiệm vụ luận văn
Lời cảm ơn ii
Tóm tắt luận văn iii

Mục lục iv
Danh sách hình vẽ vii
Danh mục từ viết tắt ix
Nội dung luận văn
DANH SÁCH HÌNH VẼ
PHẦN I
CHƯƠNG 2
Hình 2.1: Mô hình Inline 6
Hình 2.2: Mô hình Out-of-band 7
Hình 2.3: Client/host-based 9
Hình 2.4: NAC Layer 2 10
Hình 2.5: NAC Layer 3 11
CHƯƠNG 3
Hình 3.1: Các bước cơ bản để triển khai NAC 13
Hình 3.2: Bước xác định 14
Hình 3.3: Bước đánh giá 16
Hình 3.4: Bước khắc phục lỗi 17
Hình 3.5: Bước thực thi 18
Hình 3.6: Bước giám sát 19
CHƯƠNG 6
Hình 6.1: Mô hình kết nối cơ bản của Cisco NAC 38
Hình 6.2: Mô hình tổng quát của hệ thống Microsoft NAP 40
7
Hình 6.3: Hạ tầng của TNC 44
Hình 6.4: Hoạt động của TNC 44
PHẦN II
CHƯƠNG 7
Hình 7.1: Hoạt động của VMPS 47
Hình 7.2: Các thiết bị switch hỗ trợ VMPS 48
Hình 7.3: Mô hình hoạt động của NAC 51

CHƯƠNG 8
Hình 8.1: Mô hình thực nghiệm 53
Hình 8.2: Chỉnh sửa file vmps.xml 58
Hình 8.3: Trạng thái các port trên Switch 59
Hình 8.4: Cấu hình VLAN trên VMPS Server 59
Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định 60
8
DANH MỤC TỪ VIẾT TẮT
A
ACS Access Control Server
AR Access Request
C
CRM Customer Relationship Management
CTA Cisco Trust Agent
D
DHCP Dynamic Host Configuration Protocol
E
EAP Extensible authentication Protocol
G
GUI Graphical User Interface
H
HRA Health Registration Authority
I
IEC International Electrotechnical Commission
IEEE Institute of Electrical and ElectronicsEngineers
IF-IMV
IMC Integrity Measurement Collectors
IMV Integrity Measurement Verifier
IP Internet Protocol
IPSec Internet Protocol Security

IPv4 Internet Protocol version 4
ISO International Organization for Standardization
IT Information Technology
L
LDAP Lightweight Directory Access Protocol
M
MAB Mac-Authentication Bypass
MAC Media access control
9
N
NAA Network Access Authority
NAC Network Access Control
NAD Network Access Device
NAP Network Access Protection
NAR Network Access Request
NPS Network Policy Server
O
OOB Out-of-band
OS Open Systems
OSI Open Systems Interconnection
P
PDA Personal Digital Assistant
PDP Policy Decision Point
PEAP Protected Authentication Protocol
PEP Policy Enforcement Point
R
RFP Request For Proposal
S
SHA System Health Agents
SNMP Simple Network Management Protocol

SSL Secure Sockets Layer
SSL VPN Secure Sockets Layer Virtual Private Network
T
TCG Trusted Computing Group
TLS Transport Layer Security
TNC Trusted Network Connect
TNCC Trusted Network Connect Client
TNCS Trusted Network Connect Server
U
UDP User Datagram Protocol
V
VLAN Virtual Local Area Network
VMPS VLAN Management Policy Server
VPN Virtual Private Network
10
VQP Query Protocol
W
WG Work Group
WSUS Windows Server Update Services
11
PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG
Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết các
doanh nghiệp, công ty. Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môi
trường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâm
của người quản lý. Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảo
vấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưa
vào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng.
Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm sao
kiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máy
tính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng được

phép hay không được kết nối vào những khu vực bị hạn chế. Ngoài ra còn cho phép nhà quản trị
dễ dàng điều khiển, di chuyển máy tính của người sử dụng các quyền đăng nhập, kết nối vào hệ
thống một cách nhanh chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm gián
đoạn công việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản.
Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập để sử dụng
các dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng. Việc kiểm soát này phổ biến ở các
khách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập. Khi một máy tính muốn sử dụng
Internet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được.
Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập ở cấp độ kết
nối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình mạng. Kiểm soát truy cập vào
hệ thống mạng rất cần thiết trong môi trường mạng nội bộ của công ty, doanh nghiệp có nhiều
lớp mạng nhỏ, có nhiều vùng dữ liệu cần được an toàn, có nhiều kết nối tạm thời của khách, có
nhiều sự thay đổi về vị trí làm việc. Quá trình quản lý, điều khiển cần được thực hiện một cách
nhanh chóng, hiệu quả.
Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi tiếng như
Cisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừa
và nhỏ. Do đó việc tìm hiểu và sử dụng những sản phẩm mã nguồn mở đáp ứng các tính năng của
việc quản lý truy cập mạng là cần thiết. Sử dụng FreeNAC tích hợp chung với hệ thống
12
Antivirus, WSUS hình thành nên một hệ quản trị chặt chẽ hơn với việc kiểm tra độ an toàn của
máy tính (có phần mềm diệt Virus, cập nhập các bản vá mới nhất, cập nhập các bản vá lỗi của hệ
điều hành Windows, …) rồi mới cho phép tham gia vào hệ thống mạng.
Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được phép kết
nối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống với tài khoản do người
quản lý cung cấp. Dựa vào những thông tin đăng nhập người quản lý sẽ có được những thống kê
người dùng một cách rõ ràng hơn.
FreeNAC được đánh giá là một sản phẩm hiệu quả trong việc kiểm soát truy cập mạng.
Hoạt động của FreeNAC dựa trên nền VMPS của cisco và 802.1x của hầu hết các thiết bị mạng
hỗ trợ chia VLAN
Đề tài được chia làm 2 phần, gồm 8 chương

PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL
Chương 1: Tổng quan về NAC
Chương 2: Một số loại giải pháp NAC
Chương 3: Chu trình hoạt động của NAC
Chương 4: Viết chính sách bảo mật cho tổ chức
Chương 5: Mười bước hoạch định việc triển khai NAC
Chương 6: Tìm hiểu một số kiến trúc NAC
PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL
Chương 7: Tổng quan về FreeNAC
Chương 8: Mô hình và thực nghiệm
Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài. Em rất mong
nhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn.
Sinh viên thực hiện
Nguyễn Xuân Thắng
13
PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)
CHƯƠNG 1: TỔNG QUAN VỀ NAC
1.1. Khái niệm NAC và nhiệm vụ của NAC
NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng). Việc định
nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thành
phần khác nhau. Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họ
hoặc lý do tại sao họ muốn triển khai NAC. Và khái niệm kiểm soát truy cập mạng có thể bao
gồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạng
khác nhau hay các phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NAC
trong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó.
1.1.1. Tính toàn vẹn của thiết bị đầu cuối
Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểm
tra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứng
được các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập.
1.1.2. Chính sách

Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC. Một tổ chức có
thể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùy
chỉnh và xác định các chính sách mà họ muốn sử dụng. Những chính sách này thường tập trung
vào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạn
như phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phần
mềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập
(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụng
khác liên quan đến an ninh. Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối có
thể bị tấn công hoặc hack như thế nào.
1.1.3. Kiểm tra đánh giá
Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau.
14
• Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạp
một sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không.
NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa.
• Một số giải pháp NAC khác lại kiểm tra chi tiết hơn. Kiểm tra các sản phẩm và tên phiên
bản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật,
cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực. Một số giải
pháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác.
1.1.4. Mở rộng đánh giá kiểm tra
Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầu
cuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụ
thể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tra
tương tự khác. Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm tra
thiết bị đầu cuối mà họ muốn. Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tra
dựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở. Một số khác cho phép tổ chức có thể tự
đánh giá, kiểm tra và viết ra các chính sách cho riêng mình.
1.1.5. Kiểm tra trước hay sau khi cho phép
Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC,
khác biệt với các giải pháp khác. Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết

bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng. Loại
kiểm tra này thường được gọi là Pre-admission (kiểm tra trước). Tuy nhiên, một số giải pháp
NAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập
mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng post-admission,
một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra
tính toàn vẹn của thiết bị đầu cuối.
1.2. Lý do cần triển khai Network Access Control (NAC)
NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao
việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinh
doanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát
15
hoặc giới hạn truy cập mạng. Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng,
và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần.
Ta cần triển khai NAC vì nhiều lý do:
• Một số lý do mang tính tích cực
- Tăng trưởng trong kinh doanh
- Năng suất
- Công nghệ
• Một số lý do mang tính tiêu cực
- Hackers
- Sự mất cắp thông tin
- Nhận dạng kẻ trộm
Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép có thể truy
cập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bị
giới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như là
việc cập nhật hệ điều hành Window hay các bản phần mềm chống virus. Ngoài ra NAC có thể
thực hiện việc giám sát hoạt động của các thiết bị đầu cuối.
16
CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC
2.1. Các loại giải pháp NAC

Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC
• Dựa trên thiết bị (Appliance-based)
• Switch- or network equipment-based
• Client/host-based
• Clientless
2.1.1. Dựa trên thiết bị (Appliance-based)
Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máy
chủ, thiết bị phần cứng sẽ triển khai giải pháp NAC. Các giải pháp dựa trên thiết bị được chia
thành hai loại là Inline và Out-of-band (OOB)
 Inline
Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng như
thực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2.1. Vị trí
này cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng
Hình 2.1: Mô hình Inline
17
Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm
“nghẽn cổ chai”. Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được. Cũng bởi vì
do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụng
mạng.
 Out-of-band
Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng .
Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band,
không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện trong
hình 2.2.
Hình 2.2: Mô hình Out-of-band
Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline.
Các ưu điểm của mô hình Out-of-band so với Inline:
18
• Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thành
phần bảo mật như là một phần của quá trình NAC.

• Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn so
với các giải pháp NAC Inline.
• Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúng
không ở trong lưu lượng mạng, không giống như các giải pháp Inline.
• Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc
cơ sở hạ tầng bảo mật.
2.1.2. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)
Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó.
Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một
số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP
(Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn
khác.
Một số chú ý khi triển các giải pháp này:
• Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như một
thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách.
• Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứng
được khả năng hoạt động cơ bản của nó. Nó không phải chỉ để phục vụ cho NAC.
2.1.3. Dựa trên máy chủ/máy khách (Client or host-based)
Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máy
khách (Client/host-based). Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng,
cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác. Trong nhiều trường hợp, giải pháp này yêu cầu
một máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập.
Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quản
trị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp khó khăn nếu thiết bị đầu
cuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này.
Giải pháp này có thể mô tả như hình 2.3 dưới đây
19
Hình 2.3: Client/host-based
2.1.4. Giải pháp Clientless
Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng.

Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal”. Ở đó khi người
sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web cụ thể để download một
applet (ứng dụng nhỏ) viết bằng Java hoặc Active X. Ứng dụng này có thể nắm bắt thông tin để
xác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối.
Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi lưu lượng
mạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay không được quản lý,
hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ thiết bị nào kết nối vào mạng đều có
một địa chỉ IP. Bằng cách sử dụng các chính sách được xác định trước, hệ thống clientless sử
dụng một thiết bị mạng để quyết định xem làm thế nào để xử lý thiết bị không thể quản lý được.
Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc nhìn khác đó là
triển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open Systems Interconnection).
20
2.1.5. NAC Layer 2
Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông tin liên lạc và
chuyển giao thông tin giữa các thành phần mạng. IEEE 802.1X (Port-based network access
control) là giao thức quan trọng điều khiển truy cập cũng hoạt động ở Layer 2. Nhiều thiết bị
chuyển mạch Ethernet và các điểm truy cập không dây triển khai trong các mạng trên toàn thế
giới ngày nay hỗ trợ giao thức 802.1X
Nhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công nghệ và tiêu
chuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point, và các thiết bị tương tự.
Layer 2 giao tiếp với các thành phần của NAC trong quá trình xác thực và quá trình thực thi
chính sách. Hình vẽ dưới đây mô tả giải pháp NAC Layer 2
Hình 2.4: NAC Layer 2
21
2.1.6. NAC Layer 3
Lớp mạng (Layer 3: Network Layer) chịu trách nhiệm trong việc vận chuyển dữ liệu từ
nguồn tới đích trong một hay nhiều mạng. Việc định tuyến trên mạng cũng thực hiện ở lớp 3.
Một số giải pháp NAC được thực hiện ở lớp 3. Trong giải pháp này, “firewall” hoặc “secure
router” có thể được xem là nơi thực hiện NAC dựa trên địa chỉ IP. Hình vẽ dưới đây mô tả giải
pháp NAC Layer 3:

Hình 2.5: NAC Layer 3
2.2. Cách chọn giải pháp NAC phù hợp
 Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải pháp, nhà
cung cấp, sản phẩm cho phù hớp với mục đích
• Sau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển khai: Tổ chức
có thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu cuối hiện có,…với nỗ lực tối
đa hóa hiệu quả, duy trì chi phí, và bảo vệ các khoản đầu tư mạng hiện có. Nếu chi phí là
một vấn đề quan trọng hơn, và khả năng mở rộng và hiệu suất không phải là quan trọng,
22
tổ chức có thể xem xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giải
pháp NAC Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trong
thiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/host-
based.
• Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâm
trọng yếu của tổ chức hay không. Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chức
thì nên chọn giải pháp Out-of-band thực hiện ở Layer 2 và Layer 3.
• Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp Clientless NAC.
• Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những người nguy
hiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông tin quý giá hay không. Để
giải quyết vấn đề này, có thể xem xét các giải pháp NAC có hỗ trợ xác thực hai hay nhiều
trường.
• Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thì
cần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng. Điều này giúp cho
việc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tài
nguyên đúng với quyền hạn của mình.
 Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sau
đây:
• Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị.
• Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị.
• Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tập

hợp phong phú được xác định trước về tính toàn vẹn của các thiết bị đầu cuối. Nó cũng
phải có khả năng tự động thay đổi tình trạng mạng, nếu có sự thay đổi thông tin trạng thái
bảo mật thiết bị đầu cuối, thông tin mạng, hoặc thông tin người sử dụng. Và bất kỳ giải
pháp NAC nào được chọn cũng cần phải giải quyết có hiệu quả khắc phục hậu quả của
người sử dụng vi phạm, và thiết bị của họ, trước khi cấp quyền truy cập mạng.
• Khả năng giám soát hoạt động của người dùng.
• Khả năng tương thích với cơ sở hạ tầng mạng hiện có và khả năng mở rộng.
• Tính linh hoạt và khả năng đơn giản trong việc quản trị.
23
CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC
Bất kỳ giải pháp NAC nào cũng gồm năm bước để xác định mức độ truy cập cung cấp
cho một người dùng hoặc máy:
1. Xác định
2. Đánh giá
3. Khắc phục
4. Thực thi
5. Giám sát
Phải kết hợp các cập nhật với chính sách trong từng bước, đảm bảo rằng khi nhu cầu kiểm
soát truy cập và bảo mật của tổ chức thay đổi, thì các chính sách và hành động triển khai NAC
cũng thay đổi theo. Những thay đổi cần thiết sẽ giúp tinh chỉnh vòng đời NAC khi doanh nghiệp
cần thay đổi.
Thực hiện NAC sẽ có rất ít hy vọng thành công, trừ khi tổ chức có kế hoạch và mục tiêu
thích hợp. Vì vậy, khi áp dụng NAC trong tổ chức, cần phải hiểu được ý nghĩa của chính sách
bảo mật của tổ chức và tác động của nó trên NAC (thể hiện trong các khu vực bóng mờ của hình
3.1). NAC là thành phần chủ chốt của chính sách bảo mật của doanh nghiệp vì nó chỉ ra cách để
xử lý kiểm soát truy cập trên vào mạng doanh nghiệp.
Hình 3.1: Các bước cơ bản để triển khai NAC
24
3.1. Bước xác định (Assess)
Bước này bao gồm 2 phần chính:

• Nhận dạng máy và người sử dụng
• Tình trạng bảo mật của máy
Hình 3.2: Bước xác định
3.1.1. Nhận dạng máy và người sử dụng
Biết được những ai đang truy cập vào mạng là một lợi thế quan trọng của việc triển khai
NAC. Trong môi trường ngày nay, nhiều người sử dụng điện thoại di động, các bên thứ ba có
thẩm quyền, và dùng các thiết bị phi tiêu chuẩn làm cho việc xác định chính xác ai đang truy cập
tài nguyên doanh nghiệp khó khăn hơn. NAC cho phép:
• Xác định ai đang truy cập và sử dụng thiết bị nào
• Liên kết thông tin đó với chính sách cụ thể về việc truy cập của người dùng
Khi một người sử dụng đầu tiên truy cập vào mạng công ty, hệ thống NAC xác thực
người dùng đó. Một hệ thống NAC có thể nhắc người sử dụng xác thực bằng nhiều cách:
• Nếu người dùng là một nhân viên sử dụng tài sản thuộc sở hữu công ty, tài sản đó đã cài
đặt phần mềm NAC vào biểu tượng tiêu chuẩn của công ty.
• Nếu người dùng là khách hoặc đối tác, vào mạng trong một thời gian ngắn mà không cần
cho một phần mềm cài đặt vĩnh viễn, trình duyệt web của máy tính có thể hoạt động như
máy khách, chuyển hướng người dùng đến một cổng thông tin (captive portal) để xác
thực.
25