Tìm Hiểu Về Network Access Control và Ứng Dụng FreeNAC

Chuyên khảo phân tích Tìm hiểu về network access control, đánh giá các khía cạnh quan trọng, đề xuất hướng nghiên cứu tiếp theo., phục vụ nghiên cứu và ứng dụng thực tiễn

Trường đại học

Đại học Bách Khoa

Chuyên ngành

Viễn Thông

Người đăng

Ẩn danh

Thể loại

luận văn tốt nghiệp

2012

76
3
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

TÓM TẮT LUẬN VĂN

PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG

1. CHƯƠNG 1: TỔNG QUAN VỀ NAC

1.1. Khái niệm NAC và nhiệm vụ của NAC

1.2. Tính toàn vẹn của thiết bị đầu cuối

1.3. Chính sách

1.4. Kiểm tra đánh giá

1.5. Mở rộng đánh giá kiểm tra

1.6. Kiểm tra trước hay sau khi cho phép

1.7. Lý do cần triển khai Network Access Control (NAC)

2. CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC

2.1. Các loại giải pháp NAC

2.2. Dựa trên thiết bị (Appliance-based)

2.3. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)

2.4. Dựa trên máy chủ/máy khách (Client or host-based)

2.5. Giải pháp Clientless

3. CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC

3.1. Nhận dạng máy và người sử dụng

3.2. Tình trạng bảo mật của máy

3.3. Bước đánh giá (evaluate)

3.4. Bước khắc phục lỗi (Remediation)

3.5. Bước thực thi (enforce)

4. CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC

4.1. Những chính sách cần thiết

4.2. Chính sách quyền sử dụng hợp lý. Chính sách chống Virus

4.3. Chính sách sao lưu dữ liệu

4.4. Chính sách sử dụng E-mail

4.5. Chính sách Extranet

4.6. Chính sách sử dụng thiết bị di động

4.7. Chính sách Network Access Control

4.8. Chính sách mật khẩu

4.9. Chính sách bảo mật vật lý

4.10. Chính sách truy cập từ xa

4.11. Thực thi các chính sách. Khả năng thực thi

4.12. Ngân sách cho chính sách mới

4.13. Đào tạo hàng loạt

4.14. Vòng đời của một chính sách bảo mật

4.15. Các tiêu chuẩn và tài nguyên Web

4.16. Viết chính sách bảo mật cho riêng công ty

5. CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC

5.1. Tìm hiểu về NAC

5.2. Tạo mới (hoặc sửa đổi) chính sách bảo mật của doanh nghiệp

5.3. Tìm hiếm yêu cầu đề xuất và thông tin nhà cung cấp

5.4. Triển khai thí điểm

5.5. Triển khai thử trên một khu vực giới hạn

5.6. Triển khai toàn bộ và đánh giá chính sách

5.7. Triển khai toàn bộ cùng với việc thực thi chính sách

5.8. Xác định và đánh giá lại thường xuyên

6. CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC

6.1. Cisco Network Admission Control (Cisco NAC)

6.2. Microsoft Network Access Protection (NAP)

6.3. Trusted Network Connect (TNC)

7. CHƯƠNG 7: TỔNG QUAN VỀ FREENAC

7.1. VLAN Management Policy Server (VMPS)

7.2. Các tính năng của FreeNAC

7.3. Quản lý truy cập theo nhóm người dùng

7.4. Phản ứng của hệ thống khi có thiết bị lạ. Cập nhật được hiện trạng của workstation và các switch

7.5. Ưu điểm khi sử dụng FreeNAC

7.6. Các hạn chế của FreeNAC

7.7. Mô hình, nguyên tắc hoạt động

8. CHƯƠNG 8: MÔ HÌNH VÀ THỰC NGHIỆM

8.1. Mô hình xây dựng

8.2. Cài đặt FreeNAC

8.3. Cấu hình trên Switch

8.4. Cài đặt GUI cấu hình trên máy chạy Window. Kiểm tra hoạt động của FreeNAC

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tìm Hiểu Network Access Control NAC Tổng Quan Quan Trọng

Network Access Control (NAC) là một khái niệm quan trọng trong bảo mật mạng, nhưng định nghĩa chính xác có thể khác nhau tùy thuộc vào từng giải pháp. Các tổ chức thường tập trung vào những vấn đề mà NAC giải quyết, như kiểm soát truy cập và đảm bảo tuân thủ chính sách bảo mật. Khái niệm NAC có thể bao gồm nhiều khía cạnh của môi trường mạng, từ các thành phần mạng đến các phòng ban khác nhau trong tổ chức. NAC không chỉ là một tùy chọn mà là một nhu cầu thiết yếu để bảo vệ tài sản số của doanh nghiệp. Nhiệm vụ cốt lõi của NAC bao gồm kiểm tra tính toàn vẹn của thiết bị đầu cuối, thực thi chính sách bảo mật và quản lý quyền truy cập mạng một cách hiệu quả. Theo tài liệu, "Các hãng lớn như Cisco, Juniper, ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêng mình." Điều này cho thấy tầm quan trọng của NAC trong ngành công nghiệp bảo mật.

1.1. Tính Toàn Vẹn Thiết Bị Đầu Cuối Yếu Tố Cốt Lõi Của NAC

Một trong những chức năng cốt lõi và phổ biến của giải pháp NAC là kiểm tra tính toàn vẹn thiết bị đầu cuối. Điều này đảm bảo rằng các thiết bị đáp ứng các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập. Việc kiểm tra này có thể bao gồm việc xác minh phần mềm diệt virus đã được cài đặt, tường lửa đã được bật, và các bản vá bảo mật đã được cập nhật. Đây là bước quan trọng để ngăn chặn các thiết bị bị nhiễm mã độc xâm nhập vào mạng và gây nguy hiểm cho các tài sản khác. Theo tài liệu, "Việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu."

1.2. Chính Sách Policies Trong NAC Nền Tảng Kiểm Soát Truy Cập

Các chính sách là nền tảng của hầu hết các giải pháp NAC. Tổ chức có thể định trước chính sách an ninh và kiểm soát truy cập, hoặc tùy chỉnh và xác định các chính sách mà họ muốn sử dụng. Các chính sách thường tập trung vào hoạt động và trạng thái của phần mềm bảo mật thiết bị đầu cuối, như phần mềm chống virus, tường lửa cá nhân, hệ thống phòng chống xâm nhập, hệ điều hành, và các bản vá lỗi ứng dụng. Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối có thể bị tấn công hay không. Việc này giúp đảm bảo rằng chỉ những thiết bị tuân thủ chính sách bảo mật mới được phép truy cập mạng.

1.3. Kiểm Tra Đánh Giá Mức Độ Chi Tiết Trong NAC

Mức độ đánh giá và kiểm tra tính toàn vẹn trong NAC có thể khác nhau. Một số giải pháp chỉ đơn giản kiểm tra xem một thiết bị đã cài đặt một sản phẩm cụ thể, hoặc đã thiết lập một số sản phẩm hoặc dịch vụ an ninh. Những giải pháp khác lại kiểm tra chi tiết hơn, như kiểm tra tên phiên bản sản phẩm, thời gian quét cuối cùng, hoặc việc cập nhật các bản vá mới nhất. Một số giải pháp NAC thậm chí kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác. Sự khác biệt này cho phép các tổ chức lựa chọn giải pháp phù hợp với nhu cầu và yêu cầu bảo mật của họ.

II. Tại Sao Cần Triển Khai Network Access Control NAC Lợi Ích

Việc kiểm soát truy cập mạng trở nên quan trọng hơn bao giờ hết do nhiều yếu tố. Sự tăng trưởng trong kinh doanh, nhu cầu về năng suất, và sự phát triển của công nghệ đều góp phần vào sự cần thiết này. Tuy nhiên, các yếu tố tiêu cực như hacker, mất cắp thông tin, và trộm cắp danh tính cũng đóng vai trò quan trọng. NAC cho phép chỉ những người dùng và thiết bị được phép mới có thể truy cập mạng. Nếu không, NAC có thể giới hạn truy cập vào các vùng bị hạn chế hoặc cung cấp các biện pháp khắc phục như cập nhật hệ điều hành hoặc phần mềm chống virus. NAC cũng có thể giám sát hoạt động của các thiết bị đầu cuối. Theo tài liệu, "trong môi trường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâm của người quản lý. Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảo vấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưa vào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng."

2.1. Kiểm Soát Truy Cập Hạn Chế Rủi Ro Từ Thiết Bị Không Tin Cậy

NAC giúp kiểm soát truy cập bằng cách xác định và xác thực người dùng và thiết bị trước khi cho phép họ kết nối vào mạng. Điều này giúp ngăn chặn các thiết bị không tin cậy hoặc bị nhiễm mã độc xâm nhập vào mạng và gây nguy hiểm cho các tài sản quan trọng. Việc kiểm soát truy cập cũng giúp đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào các tài nguyên nhạy cảm. Theo tài liệu, "Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm sao kiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máy tính của khách hàng đem vào công ty."

2.2. Khắc Phục Lỗi Tự Động Cập Nhật và Sửa Chữa Thiết Bị Đầu Cuối

NAC có thể tự động phát hiện các thiết bị không tuân thủ chính sách bảo mật và cung cấp các biện pháp khắc phục. Ví dụ, NAC có thể yêu cầu thiết bị cập nhật phần mềm chống virus, cài đặt các bản vá bảo mật, hoặc cấu hình lại các cài đặt hệ thống. Quá trình này có thể diễn ra tự động hoặc yêu cầu sự can thiệp của người dùng. Điều này giúp đảm bảo rằng tất cả các thiết bị trên mạng đều được bảo vệ và tuân thủ chính sách bảo mật của tổ chức.

2.3. Giám Sát Hoạt Động Phát Hiện và Ứng Phó Với Các Mối Đe Dọa

NAC có thể giám sát hoạt động của các thiết bị đầu cuối để phát hiện các hành vi đáng ngờ hoặc các dấu hiệu của cuộc tấn công. Điều này giúp tổ chức nhanh chóng ứng phó với các mối đe dọa và ngăn chặn chúng gây ra thiệt hại. Việc giám sát có thể bao gồm việc theo dõi lưu lượng mạng, kiểm tra các tệp tin và quy trình, và phân tích nhật ký hệ thống.

III. Các Loại Giải Pháp Network Access Control NAC Hiện Nay

Có nhiều loại giải pháp NAC khác nhau, mỗi loại có ưu và nhược điểm riêng. Các loại giải pháp NAC phổ biến bao gồm: dựa trên thiết bị (appliance-based), dựa trên switch hoặc thiết bị mạng (switch- or network equipment-based), dựa trên máy chủ/máy khách (client/host-based), và giải pháp clientless. Việc lựa chọn giải pháp NAC phù hợp phụ thuộc vào nhu cầu và yêu cầu cụ thể của từng tổ chức.

3.1. Giải Pháp NAC Dựa Trên Thiết Bị Appliance based Ưu Nhược Điểm

Các giải pháp NAC dựa trên thiết bị sử dụng một thiết bị phần cứng chuyên dụng để triển khai NAC. Các giải pháp này có thể được triển khai inline (tất cả lưu lượng mạng phải đi qua thiết bị) hoặc out-of-band (thiết bị hoạt động song song với mạng). Ưu điểm của giải pháp này là hiệu suất cao và dễ quản lý. Tuy nhiên, chúng có thể đắt tiền và khó mở rộng.

3.2. NAC Dựa Trên Switch Thiết Bị Mạng Tích Hợp Sẵn Tiện Lợi

Các giải pháp NAC dựa trên switch hoặc thiết bị mạng tích hợp chức năng NAC vào các thiết bị mạng hiện có như switch và router. Điều này giúp giảm chi phí và đơn giản hóa việc triển khai. Tuy nhiên, chúng có thể hạn chế về tính năng và khả năng tùy biến.

3.3. NAC Dựa Trên Máy Chủ Máy Khách Linh Hoạt và Tùy Biến

Các giải pháp NAC dựa trên máy chủ/máy khách yêu cầu cài đặt phần mềm trên cả máy chủ và máy khách. Điều này cho phép kiểm soát truy cập chi tiết và tùy biến cao. Tuy nhiên, việc triển khai và quản lý có thể phức tạp hơn.

IV. Chu Trình Hoạt Động Của Network Access Control NAC Hiệu Quả

Chu trình hoạt động của NAC bao gồm nhiều bước, từ nhận dạng máy và người dùng, đánh giá tình trạng bảo mật, khắc phục lỗi, và thực thi chính sách. Mỗi bước đều quan trọng để đảm bảo rằng chỉ những thiết bị và người dùng tuân thủ chính sách bảo mật mới được phép truy cập mạng. Việc tự động hóa các bước này giúp giảm thiểu khối lượng công việc cho quản trị viên và tăng cường khả năng bảo mật của mạng.

4.1. Nhận Dạng Máy và Người Dùng Xác Thực Truy Cập Mạng

Bước đầu tiên trong chu trình NAC là nhận dạng máy và người dùng. Điều này có thể được thực hiện thông qua nhiều phương pháp, như xác thực bằng mật khẩu, chứng chỉ số, hoặc xác thực đa yếu tố. Mục tiêu là xác minh danh tính của người dùng và thiết bị trước khi cho phép họ truy cập mạng.

4.2. Đánh Giá Evaluate Tình Trạng Bảo Mật Kiểm Tra Tuân Thủ

Sau khi nhận dạng, NAC đánh giá tình trạng bảo mật của thiết bị. Điều này bao gồm kiểm tra xem thiết bị đã cài đặt phần mềm chống virus, cập nhật các bản vá bảo mật, và tuân thủ các chính sách bảo mật khác. Nếu thiết bị không tuân thủ, nó sẽ bị cách ly hoặc đưa vào vùng mạng hạn chế.

4.3. Khắc Phục Lỗi Remediation Tự Động Sửa Chữa và Cập Nhật

Nếu thiết bị không tuân thủ chính sách bảo mật, NAC có thể cung cấp các biện pháp khắc phục, như tự động cập nhật phần mềm chống virus, cài đặt các bản vá bảo mật, hoặc hướng dẫn người dùng thực hiện các bước cần thiết. Mục tiêu là đưa thiết bị về trạng thái tuân thủ trước khi cho phép nó truy cập mạng.

V. Ứng Dụng FreeNAC Giải Pháp Mã Nguồn Mở Cho NAC Tiết Kiệm

FreeNAC là một giải pháp NAC mã nguồn mở, cung cấp các tính năng tương tự như các giải pháp thương mại, nhưng với chi phí thấp hơn. FreeNAC hoạt động dựa trên VLAN Management Policy Server (VMPS) và hỗ trợ nhiều tính năng như quản lý truy cập theo nhóm người dùng, phản ứng với thiết bị lạ, và cập nhật trạng thái của workstation và switch. Tuy nhiên, FreeNAC cũng có một số hạn chế, như yêu cầu kiến thức kỹ thuật để triển khai và quản lý.

5.1. Quản Lý Truy Cập Theo Nhóm Người Dùng Phân Quyền Dễ Dàng

FreeNAC cho phép quản lý truy cập theo nhóm người dùng, giúp dễ dàng phân quyền và kiểm soát truy cập vào các tài nguyên mạng. Quản trị viên có thể tạo các nhóm người dùng khác nhau và gán các chính sách truy cập khác nhau cho mỗi nhóm.

5.2. Phản Ứng Khi Có Thiết Bị Lạ Cách Ly và Báo Động

FreeNAC có thể phát hiện và phản ứng khi có thiết bị lạ kết nối vào mạng. Các thiết bị lạ có thể bị cách ly hoặc đưa vào vùng mạng hạn chế, đồng thời quản trị viên sẽ nhận được thông báo về sự kiện này.

5.3. Cập Nhật Trạng Thái Workstation và Switch Giám Sát Liên Tục

FreeNAC có thể cập nhật trạng thái của workstation và switch, cung cấp cho quản trị viên thông tin về tình trạng bảo mật của các thiết bị này. Thông tin này có thể được sử dụng để phát hiện các vấn đề bảo mật và đưa ra các biện pháp khắc phục.

VI. Hướng Dẫn Từng Bước Triển Khai Network Access Control NAC Thành Công

Việc triển khai NAC đòi hỏi một kế hoạch cẩn thận và thực hiện từng bước. Các bước quan trọng bao gồm tìm hiểu về NAC, tạo hoặc sửa đổi chính sách bảo mật, tìm kiếm yêu cầu đề xuất và thông tin nhà cung cấp, triển khai thí điểm, triển khai thử trên một khu vực giới hạn, triển khai toàn bộ và đánh giá chính sách, triển khai toàn bộ cùng với việc thực thi chính sách, và xác định và đánh giá lại thường xuyên.

6.1. Tìm Hiểu Về NAC Nắm Vững Kiến Thức Cơ Bản

Bước đầu tiên là tìm hiểu về NAC, bao gồm các khái niệm cơ bản, các loại giải pháp NAC, và các lợi ích và hạn chế của NAC. Việc nắm vững kiến thức cơ bản sẽ giúp tổ chức đưa ra quyết định sáng suốt về việc triển khai NAC.

6.2. Tạo Sửa Đổi Chính Sách Bảo Mật Nền Tảng Thực Thi

NAC hoạt động dựa trên chính sách bảo mật, vì vậy việc tạo hoặc sửa đổi chính sách bảo mật là rất quan trọng. Chính sách bảo mật cần phải rõ ràng, cụ thể, và phù hợp với nhu cầu và yêu cầu của tổ chức.

6.3. Triển Khai Thí Điểm và Đánh Giá Thử Nghiệm Thực Tế

Trước khi triển khai NAC trên toàn bộ mạng, nên triển khai thí điểm trên một khu vực giới hạn. Điều này giúp tổ chức đánh giá hiệu quả của NAC và xác định các vấn đề cần giải quyết.

06/06/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN VỀ NAC 1. Khái niệm NAC và nhiệm vụ của NAC NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng). Việc định nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thành phần khác nhau. Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họ hoặc lý do tại sao họ muốn triển khai NAC.

Và khái niệm kiểm soát truy cập mạng có thể bao gồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạng khác nhau hay các phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NAC trong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó. Tính toàn vẹn của thiết bị đầu cuối Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểm tra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứng được các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập.

Chính sách Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC. Một tổ chức có thể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùy chỉnh và xác định các chính sách mà họ muốn sử dụng. Những chính sách này thường tập trung vào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạn như phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phần mềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập (IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụng khác liên quan đến an ninh. Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối có thể bị tấn công hoặc hack như thế nào.

Kiểm tra đánh giá Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau.com kho tài liệu miễn phí  Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạp một sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không. NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa.  Một số giải pháp NAC khác lại kiểm tra chi tiết hơn. Kiểm tra các sản phẩm và tên phiên bản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật, cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực.

Một số giải pháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác. Mở rộng đánh giá kiểm tra Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầu cuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụ thể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tra tương tự khác. Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm tra thiết bị đầu cuối mà họ muốn. Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tra dựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở.

Một số khác cho phép tổ chức có thể tự đánh giá, kiểm tra và viết ra các chính sách cho riêng mình. Kiểm tra trước hay sau khi cho phép Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC, khác biệt với các giải pháp khác. Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng. Loại kiểm tra này thường được gọi là Pre-admission (kiểm tra trước).

Tuy nhiên, một số giải pháp NAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng post-admission, một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra tính toàn vẹn của thiết bị đầu cuối. Lý do cần triển khai Network Access Control (NAC) NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinh doanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát 4 Ket-noi.com kho tài liệu miễn phí hoặc giới hạn truy cập mạng. Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng, và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần.

Ta cần triển khai NAC vì nhiều lý do:  Một số lý do mang tính tích cực - Tăng trưởng trong kinh doanh - Năng suất - Công nghệ  Một số lý do mang tính tiêu cực - Hackers - Sự mất cắp thông tin - Nhận dạng kẻ trộm Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép có thể truy cập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bị giới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như là việc cập nhật hệ điều hành Window hay các bản phần mềm chống virus. Ngoài ra NAC có thể thực hiện việc giám sát hoạt động của các thiết bị đầu cuối.com kho tài liệu miễn phí CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 2.

Các loại giải pháp NAC Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC  Dựa trên thiết bị (Appliance-based)  Switch- or network equipment-based  Client/host-based  Clientless 2. Dựa trên thiết bị (Appliance-based) Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máy chủ, thiết bị phần cứng sẽ triển khai giải pháp NAC. Các giải pháp dựa trên thiết bị được chia thành hai loại là Inline và Out-of-band (OOB)  Inline Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng như thực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2. Vị trí này cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng Remediation AAA Server Server Identity 10.3 Stores Protected Inline Device Server 10.2 User Defaults IP 10.x Agent -> Inline Device Hình 2.1: Mô hình Inline 6 Ket-noi.com kho tài liệu miễn phí Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm “nghẽn cổ chai”.

Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được. Cũng bởi vì do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụng mạng.  Out-of-band Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng. Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band, không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện trong hình 2.

Out-of-band Appliance Policy Remediation AAA Server Server Identity 172.1 Stores Protected Server 10.2 User Defaults IP 10.x Agent -> Policy Server Hình 2.2: Mô hình Out-of-band Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline. Các ưu điểm của mô hình Out-of-band so với Inline: 7 Ket-noi.com kho tài liệu miễn phí  Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thành phần bảo mật như là một phần của quá trình NAC.  Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn so với các giải pháp NAC Inline.  Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúng không ở trong lưu lượng mạng, không giống như các giải pháp Inline.

 Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc cơ sở hạ tầng bảo mật. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based) Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó. Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP (Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn khác. Một số chú ý khi triển các giải pháp này:  Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như một thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách.

 Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứng được khả năng hoạt động cơ bản của nó. Nó không phải chỉ để phục vụ cho NAC. Dựa trên máy chủ/máy khách (Client or host-based) Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máy khách (Client/host-based). Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng, cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác.

Trong nhiều trường hợp, giải pháp này yêu cầu một máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập. Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quản trị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp khó khăn nếu thiết bị đầu cuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này.com kho tài liệu miễn phí Giải pháp này có thể mô tả như hình 2.3 dưới đây Endpoint Policy Server Remediation Server 10.3 AAA Server Identity Stores Protected Server User Defaults IP 10.x Host Agent -> Endpoint Policy Server Hình 2.3: Client/host-based 2. Giải pháp Clientless Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng.

Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal”.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ