Skip to main content

Network Access Control (NAC)

Network Access Control (NAC) เป็นวิธีการหนึ่งทางด้านความปลอดภัยเครือข่ายคอมพิวเตอร์ที่ใช้เพื่อรวมเอา เทคโนโลยีทางด้านความปลอดภัย (เช่น แอนตี้ไวรัส host intrusion prevention และ vulnerability assessment) ผู้ใช้หรือระบบพิสูจน์ตัวตน และการบังคับใช้การรักษาความปลอดภัยทางเครือข่ายเข้าด้วยกัน (Policy)

Network Access Control เป็น ความคิดทางด้านเครือข่ายคอมพิวเตอร์และกลุ่มของโปรโตคอลที่ใช้เพื่อ อธิบายวิธีรักษาความปลอดภัยของเครื่องหนึ่งในเครือข่าย ก่อนที่เครื่องนั้นจะเข้าถึงเครือข่าย NAC ยังมีกระบวนการแก้ไขแบบอัตโนมัติ (แก้ไขเครื่องที่ไม่ทำตามข้อกำหนดก่อนที่จะอนุญาตให้เข้าถึงได้) สำหรับระบบต่าง ๆ ในเครือข่าย ช่วยให้ระบบพื้นฐานของเครือข่าย เช่น Router Switch และFirewall ทำงานร่วมกันกับเซิร์ฟเวอร์ที่เป็นระบบ back office และอุปกรณ์คอมพิวเตอร์ของผู้ใช้ได้ เพื่อให้มั่นใจได้ว่าระบบสารสนเทศทำงานอย่างปลอดภัยก่อนที่จะอนุญาตให้ สามารถทำงานร่วมกันได้

Network Access Control (NAC) มีเป้าหมายตามชื่อของมันคือ ควบคุมการเข้าถึงเครือข่ายหนึ่งโดยใช้นโยบาย รวมถึงการตรวจสอบ pre-admission และ post-admission ควบคุมส่วนที่ผู้ใช้และอุปกรณ์ต่าง ๆ สามารถเข้าถึงและสิ่งที่พวกมันสามารถทำได้ในเครือข่าย

หน้าที่หลักที่ NAC เข้ามาช่วยคือการตัดสินใจว่าโฮสต์ต์ใดบ้างที่ควรจะได้รับอนุญาตให้เชื่อมต่อเข้ากับเครื่อข่ายอยู่เช่นนั้น โดยเงื่อนไขในการตัดสินใจก็อาจจะเปลี่ยนแปลงตามสภาพการใช้งาน ตั้งแต่การอ้างถึงแอดเดรส media access control (MAC Address) ที่จะต้องปรากฏอยู่ภายใน white list เพื่อบังคับให้ผ่านการตรวจสอบสุขภาพของระบบรวมทั้งพารามิเตอร์ต่างๆ ต้องอยู่ในเกณฑ์ที่กำหนดด้วยเช่นกัน ซึ่งเราก็สามารถใส่แฟกเตอร์ต่างๆ อย่างเช่นการอัพเดทซอฟต์แวร์ป้องกันไวรัส หรือการรันแพ็ทของระบบปฏิบัติการ รวมทั้งค่าเซ็ตติ้งรีจิสทรีที่จำเป็น และมีการติดตั้ง personal firewall เอาไว้อย่างถูกต้องอีกด้วย

หลักการทำงาน

pre-admission และ post-admission

มี การปรัชญาในการออกแบบ NAC ที่ใช้กันอยู่ทั่วไปสองแบบ ขึ้นอยู่กับว่าจะมีการใช้นโยบายก่อนหรือหลังจากที่เครื่องสามารถเข้าถึง เครือข่ายได้ ในกรณีแรกเรียกว่า pre-admission NAC เครื่องในเครือข่ายจะได้รับการตรวจสอบก่อนที่จะได้รับอนุญาตให้เข้าถึงเครือ ข่ายได้ NAC แบบ pre-admission ส่วนใหญ่ใช้เพื่อป้องกันไคลเอนท์ที่ไม่ได้อัพเดท signature ของไวรัสไม่ให้สามารถติดต่อกับเซิร์ฟเวอร์ที่มีข้อมูลความลับ ส่วน NAC แบบ post-admission ใช้การบังคับโดยตัดสินใจจากการกระทำของผู้ใช้งาน หลังจากที่ผู้ใช้เหล่านี้สามารถเข้าถึงเครือข่ายได้แล้ว
Agent และ Agentless

ความ คิดพื้นฐานเบื้องหลังการทำงาน NAC คือ การยอมให้เครือข่ายนั้นสามารถตัดสินใจเกี่ยวกับการควบคุมการเข้าถึงตาม ข้อมูลข่าวสารเกี่ยวกับระบบของผู้ใช้ ดังนั้น ข้อมูลเกี่ยวกับระบบของผู้ใช้เป็นการตัดสินใจที่สำคัญ ความแตกต่างระหว่างระบบ NACหลักๆ คือพวกมันจำเป็นต้องใช้ซอฟท์แวร์ Agent เพื่อรายงานลักษณะของระบบปลายทาง หรือใช้เทคนิคการสแกน network inventory เพื่อให้รู้ถึงลักษณะเหล่านี้จากระยะไกล

out-of-band หรือ inline

ในระบบ out-of-band จะมีการใช้ Agent กับระบบปลายทางและรายงานข้อมูลข่าวสารมายังระบบควบคุมส่วนกลาง เพื่อให้สามารถควบคุมสวิทช์ให้บังคับใช้นโยบายได้ ตรงข้ามกับ inline ที่ใช้เครื่องเดียวที่ทำหน้าที่เป็นไฟร์วอลล์สำหรับเครือข่ายในระดับ access layer และบังคับใช้นโยบาย ระบบ out-of-band อาศัยระบบพื้นฐานที่มีอยู่แล้ว ส่วนผลิตภัณฑ์แบบ inline ง่ายในการติดตั้งกับเครือข่ายใหม่ และอาจมีความสามารถในการบังคับใช้ทางเครือข่ายในขั้นสูงกว่า เพราะมันควบคุม packet ต่าง ๆ โดยตรง อย่างไรก็ตามมีผลิตภัณฑ์ที่เป็นแบบ Agentless ใช้งานง่าย แบบ out-of-band ที่มีความเสี่ยงน้อย แต่ใช้เทคนิคแบบ inline กับอุปกรณ์ที่ไม่สนับสนุน ซึ่งจำเป็นต้องมีการบังคับใช้นโยบายควบคู่ไปด้วย
การแก้ไข กักกัน และ captive portals

ผู้ดูแลเครือข่ายติดตั้งผลิตภัณฑ์ NAC ด้วย ความคาดหวังว่าอาจจะมีไคลเอนท์ที่มีสิทธิ์ถูกต้องที่ถูกปฏิเสธไม่ให้ เข้าถึงเครือข่ายได้ (ถ้าผู้ใช้ไม่เคยมีซอฟท์แวร์เก่าที่ไม่ได้อัพเดทเลย NAC ก็ไม่มีความจำเป็น
ใด ๆ) เพราะฉะนั้น NAC จำเป็นต้องมีกลไกสำหรับการแก้ไขปัญหาของผู้ใช้ปลายทางที่ทำให้พวกเขาไม่สามารถเข้าถึงเครือข่ายได้ กลยุทธ์ที่ใช้ในการแก้ไขสองวิธีที่ใช้อยู่ทั่วไปคือการใช้เครือข่ายสำหรับการกักกันและCaptive portals

การกักกัน (quarantine) เครือ ข่ายกักกันเป็นเครือข่ายไอพีแบบจำกัดวง ที่ยอมให้ผู้ใช้สามารถเข้าถึงโฮสต์และแอพพลิเคชั่นบางตัวเท่านั้น การกักกันมักใช้ในรูปแบบของการกำหนด VLAN เมื่อผลิตภัณฑ์ NAC พบว่ามีเครื่องของผู้ใช้ปลายทางที่ไม่มีการอัพเดทซอฟท์แวร์ จะมีการกำหนดพอร์ทของสวิทช์ไปยัง VLAN ที่ มีเส้นทางไปยังเซิร์ฟเวอร์สำหรับการอัพเดทซอฟท์แวร์เท่านั้น โดยไม่สามารถไปยังส่วนที่เหลือของเครือข่ายได้ วิธีการอื่น ๆ เช่นการใช้เทคนิค Address Management (เช่น Address Resolution Protocol (ARP) หรือ Neighbor Discovery Protocol (NDP)) สำหรับการกักกัน เพื่อป้องกันปัญหาการจัดการกับ VLAN ที่มีการกักกันมากเกินไป

Captive portals จะ สกัดการเข้าถึงหน้าเวบและเปลี่ยนเส้นทางของผู้ใช้ไปยังเวบแอพพลิเคชั่นที่ ให้คำแนะนำและเครื่องมือที่ใช้ในการอัพเดทคอมพิวเตอร์ ผู้ใช้ที่ไม่ผ่านการตรวจสอบแบบอัตโนมัติจะไม่สามารถ
ใช้งานเครือข่ายอื่น ๆ ได้นอกจาก Captive portal คล้ายกับวิธีที่ใช้สำหรับเครือข่ายไร้สายที่ต้องเสียค่าบริการตามสถานที่ สาธารณะ

เอกสารอ้างอิง

http://www.sran.net/archives/107

http://tidtee.bloggang.com

http://www.dnsthailand.net/index.php

http://kmcenter.rid.go.th

Comments

comments

Translate »