Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

GIẢI PHÁP TRUY CẬP MẠNG (NETWORK ACCESS CONTROL)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.37 MB, 47 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

ĐỀ TÀI
TÌM HIỂU GIẢI PHÁP TRUY CẬP MẠNG
(NETWORK ACCESS CONTROL)

GVHD: BÙI VIỆT THẮNG
SVTH: DƯƠNG NHẬT QUÂN

HÀ NỘI, Tháng 12/2018
i


TÓM TẮT BÀI BÁO CÁO

Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de
dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính
sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng
(Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy
chọn mà đúng hơn là một quy luật tất yếu.
Trong khuôn khổ bài báo cáo, em xin tập trung vào việc tìm hiểu Network
Access Control (Kiểm soát truy cập mạng). Các hãng lớn như Cisco, Juniper,
ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control
cho riêng mình.
Sinh viên thực hiện
NGUYỄN ĐỨC MẠNH
DƯƠNG NHẬT QUÂN

ii



MỤC LỤC
Đề mục

Trang

Trang bìa ............................................................................................................... i
Tóm tắt bài báo cáo .............................................................................................. ii
Mục lục................................................................................................................ iii
Danh sách hình vẽ ................................................................................................ v
Danh mục từ viết tắt ............................................................................................ vi
Nội dung báo cáo
MỞ ĐẦU: GIỚI THIỆU CHUNG .......................................................................... 1
CHƯƠNG 1: TỔNG QUAN VỀ NAC ................................................................... 3
1.1. Khái niệm NAC và nhiệm vụ của NAC ........................................................ 3
1.1.1. Tính toàn vẹn của thiết bị đầu cuối ......................................................... 3
1.1.2. Chính sách ............................................................................................... 3
1.1.3. Kiểm tra đánh giá .................................................................................... 4
1.1.4. Mở rộng đánh giá kiểm tra ...................................................................... 4
1.1.5. Kiểm tra trước hay sau khi cho phép ...................................................... 5
1.2. Lý do cần triển khai Network Access Control (NAC) .................................. 5
CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC ................................................. 7
2.1. Các loại giải pháp NAC ................................................................................. 7
2.1.1. Dựa trên thiết bị (Appliance-based) ........................................................ 7
2.1.2. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipmentbased) 10
2.1.3. Dựa trên máy chủ/máy khách (Client or host-based) ........................... 10
2.1.4. Giải pháp Clientless .............................................................................. 11
2.1.5. NAC Layer 2 ......................................................................................... 12
2.1.6. NAC Layer 3 ......................................................................................... 13
CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC ...................................... 17

iii


3.1. Bước xác định (Assess) ............................................................................... 18
3.1.1. Nhận dạng máy và người sử dụng......................................................... 18
3.1.2. Tình trạng bảo mật của máy .................................................................. 19
3.2. Bước đánh giá (evaluate) ............................................................................. 20
3.3. Bước khắc phục lỗi (Remediation) .............................................................. 21
3.4. Bước thực thi (enforce)................................................................................ 23
3.5. Bước giám sát (Monitor) ............................................................................. 24
CHƯƠNG 4: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC..................................... 27
4.1. Cisco Network Admission Control (Cisco NAC) ....................................... 27
4.2. Microsoft Network Access Protection (NAP) ............................................. 29
4.3. Trusted Network Connect (TNC) ................................................................ 32
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ............................................................ 37
TÀI LIỆU THAM KHẢO ..................................................................................... 38

iv


DANH SÁCH HÌNH VẼ
CHƯƠNG 2
Hình 2.1: Mô hình Inline........................................................................... 6
Hình 2.2: Mô hình Out-of-band ................................................................ 7
Hình 2.3: Client/host-based....................................................................... 9
Hình 2.4: NAC Layer 2 ............................................................................. 10
Hình 2.5: NAC Layer 3 ............................................................................. 11
CHƯƠNG 3
Hình 3.1: Các bước cơ bản để triển khai NAC ......................................... 13
Hình 3.2: Bước xác định ........................................................................... 14

Hình 3.3: Bước đánh giá ........................................................................... 16
Hình 3.4: Bước khắc phục lỗi ................................................................... 17
Hình 3.5: Bước thực thi............................................................................. 18
Hình 3.6: Bước giám sát ........................................................................... 19
CHƯƠNG 4
Hình 4.1: Mô hình kết nối cơ bản của Cisco NAC ................................... 38
Hình 4.2: Mô hình tổng quát của hệ thống Microsoft NAP ..................... 40
Hình 4.3: Hạ tầng của TNC ...................................................................... 44
Hình 4.4: Hoạt động của TNC .................................................................. 44

v


DANH MỤC TỪ VIẾT TẮT
A
ACS
AR

Access Control Server
Access Request

C
CRM
CTA

Customer Relationship Management
Cisco Trust Agent

D
DHCP


Dynamic Host Configuration Protocol

E
EAP

Extensible authentication Protocol

G
GUI

Graphical User Interface

H
HRA

Health Registration Authority

I
IEC
IEEE
IF-IMV
IMC
IMV
IP
IPSec
IPv4
ISO
IT


International Electrotechnical Commission
Institute of Electrical and ElectronicsEngineers
Integrity Measurement Collectors
Integrity Measurement Verifier
Internet Protocol
Internet Protocol Security
Internet Protocol version 4
International Organization for Standardization
Information Technology

L
LDAP

Lightweight Directory Access Protocol

M
MAB

Mac-Authentication Bypass
vi


MAC

Media access control

N
NAA
NAC
NAD

NAP
NAR
NPS

Network Access Authority
Network Access Control
Network Access Device
Network Access Protection
Network Access Request
Network Policy Server

O
OOB
OS
OSI

Out-of-band
Open Systems
Open Systems Interconnection

P
PDA
PDP
PEAP
PEP

Personal Digital Assistant
Policy Decision Point
Protected Authentication Protocol
Policy Enforcement Point


R
RFP

Request For Proposal

S
SHA
SNMP
SSL
SSL VPN

System Health Agents
Simple Network Management Protocol
Secure Sockets Layer
Secure Sockets Layer Virtual Private Network

T
TCG
TLS
TNC
TNCC
TNCS

Trusted Computing Group
Transport Layer Security
Trusted Network Connect
Trusted Network Connect Client
Trusted Network Connect Server


U
UDP

User Datagram Protocol
vii


V
VLAN
VMPS
VPN
VQP
W
WG
WSUS

Virtual Local Area Network
VLAN Management Policy Server
Virtual Private Network
Query Protocol
Work Group
Windows Server Update Services

viii


MỞ ĐẦU: GIỚI THIỆU CHUNG
Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu
hết các doanh nghiệp, công ty. Các cuộc tấn công chủ yếu là trong môi trường
mạng nội bộ, trong môi trường người dùng có ít kiến thức về an toàn thông tin, về

bảo mật thông tin, có ít sự quan tâm của người quản lý. Hầu hết các hệ thống mạng
nội bộ của các doanh nghiệp đều chưa đảm bảo vấn đề bảo mật, chưa thể điều
khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưa vào, chưa thể
kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng.
Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là
làm sao kiểm soát được các máy tính của người dùng trong công ty của mình, kiểm
soát được các máy tính của khách hàng đem vào công ty, làm sao để xác định, giới
hạn phân quyền người dùng được phép hay không được kết nối vào những khu vực
bị hạn chế. Ngoài ra còn cho phép nhà quản trị dễ dàng điều khiển, di chuyển máy
tính của người sử dụng các quyền đăng nhập, kết nối vào hệ thống một cách nhanh
chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm gián đoạn công
việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản.
Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập
để sử dụng các dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng. Việc kiểm
soát này phổ biến ở các khách sạn, khu nghỉ mát nhằm quản lý và tính phí truy
cập. Khi một máy tính muốn sử dụng Internet thì cần đăng nhập với tài khoản của
mình và mới sử dụng, kết nối ra bên ngoài được.
Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập
ở cấp độ kết nối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình
mạng. Kiểm soát truy cập vào hệ thống mạng rất cần thiết trong môi trường mạng
nội bộ của công ty, doanh nghiệp có nhiều lớp mạng nhỏ, có nhiều vùng dữ liệu
1


cần được an toàn, có nhiều kết nối tạm thời của khách, có nhiều sự thay đổi về vị trí
làm việc. Quá trình quản lý, điều khiển cần được thực hiện một cách nhanh chóng,
hiệu quả.
Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi
tiếng như Cisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh
nghiệp với quy mô vừa và nhỏ. Do đó việc tìm hiểu và sử dụng những sản phẩm

mã nguồn mở đáp ứng các tính năng của việc quản lý truy cập mạng là cần thiết.
Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được
phép kết nối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống
với tài khoản do người quản lý cung cấp. Dựa vào những thông tin đăng nhập
người quản lý sẽ có được những thống kê người dùng một cách rõ ràng hơn.
Đề tài được chia làm 4 chương
Chương 1: Tổng quan về NAC
Chương 2: Một số loại giải pháp NAC
Chương 3: Chu trình hoạt động của NAC
Chương 4: Tìm hiểu một số kiến trúc NAC
Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài. Em
rất mong nhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn
thiện hơn.

2


CHƯƠNG 1: TỔNG QUAN VỀ NAC

1.1.

Khái niệm NAC và nhiệm vụ của NAC
NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng).

Việc định nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp
NAC có rất nhiều thành phần khác nhau. Các tổ chức có xu hướng tập trung vào
những vấn đề NAC giải quyết cho họ hoặc lý do tại sao họ muốn triển khai NAC.
Và khái niệm kiểm soát truy cập mạng có thể bao gồm nhiều phần khác nhau của
một môi trường mạng, hoặc liên quan tới các thành phần mạng khác nhau hay các
phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NAC trong các

phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó.
1.1.1. Tính toàn vẹn của thiết bị đầu cuối
Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan
đến việc kiểm tra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo
rằng thiết bị đầu cuối đáp ứng được các yêu cầu cơ bản của chính sách kiểm soát an
ninh và truy cập.
1.1.2. Chính sách
Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC.
Một tổ chức có thể ấn định trước chính sách an ninh của họ và kiểm soát truy cập,
hoặc một tổ chức có thể tùy chỉnh và xác định các chính sách mà họ muốn sử dụng.
Những chính sách này thường tập trung vào các hoạt động và trạng thái của phần
mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạn như phần mềm chống virus,
chống phần mềm gián điệp, chống thư rác, hoặc chống các phần mềm độc hại khác,
tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập
3


(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và
các ứng dụng khác liên quan đến an ninh. Một số giải pháp NAC có thể thăm dò
xem một thiết bị đầu cuối có thể bị tấn công hoặc hack như thế nào.
1.1.3. Kiểm tra đánh giá
Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể
khác nhau.


Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có
được nạp một sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ
an ninh hay không. NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm
đó chưa.




Một số giải pháp NAC khác lại kiểm tra chi tiết hơn. Kiểm tra các sản phẩm
và tên phiên bản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật
các sản phẩm bảo mật, cho dù người dùng đã tắt chức năng điều khiển hoặc
bảo vệ thời gian thực. Một số giải pháp NAC kiểm tra các sản phẩm bảo mật
của các nhà cung cấp khác.

1.1.4. Mở rộng đánh giá kiểm tra
Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn
vẹn thiết bị đầu cuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng
chỉ máy tính, các ứng dụng cụ thể, các tập tin, quy trình, registry, Media Access
Control (MAC), địa chỉ IP và các kiểm tra tương tự khác. Một số giải pháp NAC
cho phép một tổ chức xác định và tùy chỉnh việc kiểm tra thiết bị đầu cuối mà họ
muốn. Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tra dựa trên
một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở. Một số khác cho phép tổ chức có
thể tự đánh giá, kiểm tra và viết ra các chính sách cho riêng mình.

4


1.1.5. Kiểm tra trước hay sau khi cho phép
Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải
pháp NAC, khác biệt với các giải pháp khác. Hầu hết các giải pháp NAC kiểm tra
tính toàn vẹn của một thiết bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết
bị đầu cuối có thể kết nối vào mạng. Loại kiểm tra này thường được gọi là Preadmission (kiểm tra trước). Tuy nhiên, một số giải pháp NAC có thể thực hiện các
kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập mạng, các
kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng postadmission, một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho
việc đánh giá và kiểm tra tính toàn vẹn của thiết bị đầu cuối.
1.2.


Lý do cần triển khai Network Access Control (NAC)
NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng),

nhưng tại sao việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống
như với bất kỳ hoạt động kinh doanh nào, trình điều khiển công nghệ và thị trường
ảnh hưởng đến sự cần thiết phải kiểm soát hoặc giới hạn truy cập mạng. Ngoài ra,
số lượng người sử dụng mạng, thông tin mà họ sử dụng, và loại công việc họ làm
ảnh hưởng đến tần số và mức độ truy cập mà họ cần.
Ta cần triển khai NAC vì nhiều lý do:


Một số lý do mang tính tích cực

-

Tăng trưởng trong kinh doanh

-

Năng suất

-

Công nghệ



Một số lý do mang tính tiêu cực


-

Hackers

-

Sự mất cắp thông tin
5


-

Nhận dạng kẻ trộm
Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép

có thể truy cập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó
truy nhập vào các vùng bị giới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành
việc sửa chữa thiết bị đầu cuối như là việc cập nhật hệ điều hành Window hay các
bản phần mềm chống virus. Ngoài ra NAC có thể thực hiện việc giám sát hoạt động
của các thiết bị đầu cuối.

6


CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC
2.1.

Các loại giải pháp NAC
Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC




Dựa trên thiết bị (Appliance-based)



Switch- or network equipment-based



Client/host-based



Clientless

2.1.1. Dựa trên thiết bị (Appliance-based)
Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa
trên một máy chủ, thiết bị phần cứng sẽ triển khai giải pháp NAC. Các giải pháp
dựa trên thiết bị được chia thành hai loại là Inline và Out-of-band (OOB)
 Inline
Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý,
và cũng như thực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị,
như trong hình 2.1. Vị trí này cho phép thực hiện việc điều khiển truy cập mạng
một cách dễ dàng

7


Remediation

Server
10.0.0.3

AAA Server
Identity
Stores

Inline Device

Protected
Server
10.0.0.1 ,
10.0.0.2

User
Defaults IP 10.0.0.x
Agent -> Inline
Device

Hình 2.1: Mô hình Inline
Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành
một điểm “nghẽn cổ chai”. Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập
mạng được. Cũng bởi vì do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể
ảnh hưởng đến hiệu suất sử dụng mạng.
 Out-of-band
Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu
lượng mạng . Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua
các thiết bị out-of-band, không phải tất cả lưu lượng truy cập mạng đã vượt qua
trực tiếp thông qua nó, như thể hiện trong hình 2.2.


8


Out-of-band
Appliance
Policy
Remediation
Server
172.16.0.1

AAA Server
Identity
Stores

Protected
Server
10.0.0.1 ,
10.0.0.2

User
Defaults IP 10.0.0.x
Agent -> Policy
Server

Hình 2.2: Mô hình Out-of-band
Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô
hình Inline. Các ưu điểm của mô hình Out-of-band so với Inline:


Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và

các thành phần bảo mật như là một phần của quá trình NAC.



Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh
chóng hơn so với các giải pháp NAC Inline.



Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi
vì chúng không ở trong lưu lượng mạng, không giống như các giải pháp
Inline.



Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng
hiện có hoặc cơ sở hạ tầng bảo mật.
9


2.1.2. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipmentbased)
Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC
trong đó. Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại
với sự gián đoạn ít, một số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC,
chẳng hạn như 802.1X, DHCP (Dynamic Host Configuration Protocol), IPSec
(Internet Protocol Security), hoặc các tiêu chuẩn khác.
Một số chú ý khi triển các giải pháp này:


Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung –

ví dụ như một thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý
chính sách.



Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị
này đáp ứng được khả năng hoạt động cơ bản của nó. Nó không phải chỉ để
phục vụ cho NAC.

2.1.3. Dựa trên máy chủ/máy khách (Client or host-based)
Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy
chủ hoặc máy khách (Client/host-based). Những giải pháp NAC dựa trên phần
mềm thường độc lập với mạng, cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác.
Trong nhiều trường hợp, giải pháp này yêu cầu một máy chủ chính sách để cung
cấp và quản lý an ninh cần thiết và chính sách truy cập.
Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính
là người quản trị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp
khó khăn nếu thiết bị đầu cuối là các thiết bị không hỗ trợ để có thể cài đặt giải
pháp này.

10


Giải pháp này có thể mô tả như hình 2.3 dưới đây
Endpoint
Policy Server

Remediation
Server
10.0.0.3


AAA Server
Identity Stores

Protected
Server

User
Defaults IP 10.0.0.x
Host Agent -> Endpoint
Policy Server

Hình 2.3: Client/host-based
2.1.4. Giải pháp Clientless
Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi
truy cập mạng.
Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal”. Ở
đó khi người sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web
cụ thể để download một applet (ứng dụng nhỏ) viết bằng Java hoặc Active X. Ứng
dụng này có thể nắm bắt thông tin để xác thực người dùng và thiết bị, đánh giá
trạng thái và an ninh đầu cuối.

11


Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi
lưu lượng mạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay
không được quản lý, hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ
thiết bị nào kết nối vào mạng đều có một địa chỉ IP. Bằng cách sử dụng các chính
sách được xác định trước, hệ thống clientless sử dụng một thiết bị mạng để quyết

định xem làm thế nào để xử lý thiết bị không thể quản lý được.
Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc
nhìn khác đó là triển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open
Systems Interconnection).
2.1.5. NAC Layer 2
Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông
tin liên lạc và chuyển giao thông tin giữa các thành phần mạng. IEEE 802.1X (Portbased network access control) là giao thức quan trọng điều khiển truy cập cũng
hoạt động ở Layer 2. Nhiều thiết bị chuyển mạch Ethernet và các điểm truy cập
không dây triển khai trong các mạng trên toàn thế giới ngày nay hỗ trợ giao thức
802.1X
Nhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công
nghệ và tiêu chuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point,
và các thiết bị tương tự. Layer 2 giao tiếp với các thành phần của NAC trong quá
trình xác thực và quá trình thực thi chính sách. Hình vẽ dưới đây mô tả giải pháp
NAC Layer 2

12


Authentication
Server/
Radius Server
AAA Server
Identity
Stores

Remediation
Server
172.16.0.1
VLAN 1


Protected
Server
10.0.0.1 ,
10.0.0.2
VLAN 2

Unauthorized Port
Default 172.16.0.x
VLAN 1
Authorized Port
Default IP : 10.0.0.x
VLAN 2
Supplicant -> Access device ->
Radius Server

Hình 2.4: NAC Layer 2
2.1.6. NAC Layer 3
Lớp mạng (Layer 3: Network Layer) chịu trách nhiệm trong việc vận chuyển
dữ liệu từ nguồn tới đích trong một hay nhiều mạng. Việc định tuyến trên mạng
cũng thực hiện ở lớp 3. Một số giải pháp NAC được thực hiện ở lớp 3. Trong giải
pháp này, “firewall” hoặc “secure router” có thể được xem là nơi thực hiện NAC
dựa trên địa chỉ IP. Hình vẽ dưới đây mô tả giải pháp NAC Layer 3:

13


Policy Server
Remediation
Server

172.16.0.1

AAA Server
Identity
Stores

Protected
Server
10.0.0.1 ,
10.0.0.2

User
Defaults IP 10.0.0.x
Agent -> Policy
Server

Hình 2.5: NAC Layer 3
2.2.

Cách chọn giải pháp NAC phù hợp

 Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải
pháp, nhà cung cấp, sản phẩm cho phù hớp với mục đích


Sau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển
khai: Tổ chức có thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu
cuối hiện có,…với nỗ lực tối đa hóa hiệu quả, duy trì chi phí, và bảo vệ các
khoản đầu tư mạng hiện có. Nếu chi phí là một vấn đề quan trọng hơn, và
khả năng mở rộng và hiệu suất không phải là quan trọng, tổ chức có thể xem

xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giải pháp NAC
Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trong

14


thiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp
client/host-based.


Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối
quan tâm trọng yếu của tổ chức hay không. Nếu xem đây là mối quan tâm
trọng yếu đổi với tổ chức thì nên chọn giải pháp Out-of-band thực hiện ở
Layer 2 và Layer 3.



Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp
Clientless NAC.



Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những
người nguy hiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông
tin quý giá hay không. Để giải quyết vấn đề này, có thể xem xét các giải
pháp NAC có hỗ trợ xác thực hai hay nhiều trường.



Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức

yên tâm, thì cần một giải pháp NAC tập trung vào sự phân biệt tài nguyên
mạng. Điều này giúp cho việc chỉ có người sử dụng được xác thực, ủy quyền
chính xác mới có thể sử dụng tài nguyên đúng với quyền hạn của mình.

 Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và
khả năng sau đây:


Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của
thiết bị.



Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị.



Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể
cung cấp một tập hợp phong phú được xác định trước về tính toàn vẹn của
các thiết bị đầu cuối. Nó cũng phải có khả năng tự động thay đổi tình trạng
mạng, nếu có sự thay đổi thông tin trạng thái bảo mật thiết bị đầu cuối, thông
tin mạng, hoặc thông tin người sử dụng. Và bất kỳ giải pháp NAC nào được
15


chọn cũng cần phải giải quyết có hiệu quả khắc phục hậu quả của người sử
dụng vi phạm, và thiết bị của họ, trước khi cấp quyền truy cập mạng.


Khả năng giám soát hoạt động của người dùng.




Khả năng tương thích với cơ sở hạ tầng mạng hiện có và khả năng mở rộng.



Tính linh hoạt và khả năng đơn giản trong việc quản trị.

16


CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC

Bất kỳ giải pháp NAC nào cũng gồm năm bước để xác định mức độ truy cập
cung cấp cho một người dùng hoặc máy:
1. Xác định
2. Đánh giá
3. Khắc phục
4. Thực thi
5. Giám sát
Phải kết hợp các cập nhật với chính sách trong từng bước, đảm bảo rằng khi
nhu cầu kiểm soát truy cập và bảo mật của tổ chức thay đổi, thì các chính sách và
hành động triển khai NAC cũng thay đổi theo. Những thay đổi cần thiết sẽ giúp
tinh chỉnh vòng đời NAC khi doanh nghiệp cần thay đổi.
Thực hiện NAC sẽ có rất ít hy vọng thành công, trừ khi tổ chức có kế hoạch
và mục tiêu thích hợp. Vì vậy, khi áp dụng NAC trong tổ chức, cần phải hiểu được
ý nghĩa của chính sách bảo mật của tổ chức và tác động của nó trên NAC (thể hiện
trong các khu vực bóng mờ của hình 3.1). NAC là thành phần chủ chốt của chính
sách bảo mật của doanh nghiệp vì nó chỉ ra cách để xử lý kiểm soát truy cập trên

vào mạng doanh nghiệp.

17


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×