CHƯƠNG 1: TỔNG QUAN VỀ NAC 1. Khái niệm NAC và nhiệm vụ của NAC NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng). Việc định nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thành phần khác nhau. Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họ hoặc lý do tại sao họ muốn triển khai NAC.
Và khái niệm kiểm soát truy cập mạng có thể bao gồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạng khác nhau hay các phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NAC trong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó. Tính toàn vẹn của thiết bị đầu cuối Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểm tra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứng được các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập.
Chính sách Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC. Một tổ chức có thể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùy chỉnh và xác định các chính sách mà họ muốn sử dụng. Những chính sách này thường tập trung vào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạn như phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phần mềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập (IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụng khác liên quan đến an ninh. Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối có thể bị tấn công hoặc hack như thế nào.
Kiểm tra đánh giá Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau.com kho tài liệu miễn phí Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạp một sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không. NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa. Một số giải pháp NAC khác lại kiểm tra chi tiết hơn. Kiểm tra các sản phẩm và tên phiên bản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật, cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực.
Một số giải pháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác. Mở rộng đánh giá kiểm tra Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầu cuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụ thể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tra tương tự khác. Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm tra thiết bị đầu cuối mà họ muốn. Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tra dựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở.
Một số khác cho phép tổ chức có thể tự đánh giá, kiểm tra và viết ra các chính sách cho riêng mình. Kiểm tra trước hay sau khi cho phép Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC, khác biệt với các giải pháp khác. Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng. Loại kiểm tra này thường được gọi là Pre-admission (kiểm tra trước).
Tuy nhiên, một số giải pháp NAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng post-admission, một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra tính toàn vẹn của thiết bị đầu cuối. Lý do cần triển khai Network Access Control (NAC) NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinh doanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát 4 Ket-noi.com kho tài liệu miễn phí hoặc giới hạn truy cập mạng. Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng, và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần.
Ta cần triển khai NAC vì nhiều lý do: Một số lý do mang tính tích cực - Tăng trưởng trong kinh doanh - Năng suất - Công nghệ Một số lý do mang tính tiêu cực - Hackers - Sự mất cắp thông tin - Nhận dạng kẻ trộm Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép có thể truy cập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bị giới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như là việc cập nhật hệ điều hành Window hay các bản phần mềm chống virus. Ngoài ra NAC có thể thực hiện việc giám sát hoạt động của các thiết bị đầu cuối.com kho tài liệu miễn phí CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 2.
Các loại giải pháp NAC Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC Dựa trên thiết bị (Appliance-based) Switch- or network equipment-based Client/host-based Clientless 2. Dựa trên thiết bị (Appliance-based) Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máy chủ, thiết bị phần cứng sẽ triển khai giải pháp NAC. Các giải pháp dựa trên thiết bị được chia thành hai loại là Inline và Out-of-band (OOB) Inline Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng như thực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2. Vị trí này cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng Remediation AAA Server Server Identity 10.3 Stores Protected Inline Device Server 10.2 User Defaults IP 10.x Agent -> Inline Device Hình 2.1: Mô hình Inline 6 Ket-noi.com kho tài liệu miễn phí Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm “nghẽn cổ chai”.
Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được. Cũng bởi vì do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụng mạng. Out-of-band Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng. Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band, không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện trong hình 2.
Out-of-band Appliance Policy Remediation AAA Server Server Identity 172.1 Stores Protected Server 10.2 User Defaults IP 10.x Agent -> Policy Server Hình 2.2: Mô hình Out-of-band Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline. Các ưu điểm của mô hình Out-of-band so với Inline: 7 Ket-noi.com kho tài liệu miễn phí Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thành phần bảo mật như là một phần của quá trình NAC. Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn so với các giải pháp NAC Inline. Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúng không ở trong lưu lượng mạng, không giống như các giải pháp Inline.
Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc cơ sở hạ tầng bảo mật. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based) Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó. Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP (Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn khác. Một số chú ý khi triển các giải pháp này: Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như một thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách.
Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứng được khả năng hoạt động cơ bản của nó. Nó không phải chỉ để phục vụ cho NAC. Dựa trên máy chủ/máy khách (Client or host-based) Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máy khách (Client/host-based). Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng, cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác.
Trong nhiều trường hợp, giải pháp này yêu cầu một máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập. Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quản trị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp khó khăn nếu thiết bị đầu cuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này.com kho tài liệu miễn phí Giải pháp này có thể mô tả như hình 2.3 dưới đây Endpoint Policy Server Remediation Server 10.3 AAA Server Identity Stores Protected Server User Defaults IP 10.x Host Agent -> Endpoint Policy Server Hình 2.3: Client/host-based 2. Giải pháp Clientless Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng.
Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal”.