TÌM HIỂU VỀ NETWORK ACCESS CONTROL VÀ ỨNG DỤNG FREENAC

TÌM HIỂU VỀ NETWORK ACCESS CONTROL VÀ ỨNG DỤNG FREENAC Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA ĐIỆN – ĐIỆN TỬ

BỘ MÔN VIỄN THÔNG

LUẬN VĂN TỐT NGHIỆP

TÌM HIỂU VỀ NETWORK ACCESS CONTROL

VÀ ỨNG DỤNG FREENAC

GVHD: TS LƯU THANH TRÀ SVTH: NGUYỄN XUÂN THẮNG MSSV: 40702267

Tp HCM, Tháng 6/2012

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Thành phố Hồ Chí Minh Độc Lập – Tự Do – Hạnh Phúc

Số: /BKĐT

Khoa: Điện – Điện tử

Bộ Môn: Viễn Thông

NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP

1 Đầu đề luận văn: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC ”

2 Nhiệm vụ ( Yêu cầu về nội dung và số liệu ban đầu):

3 Ngày giao nhiệm vụ luận văn:

4 Ngày hoàn thành nhiệm vụ:

5 Họ và tên người hướng dẫn: Phần hướng dẫn

Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn .

Ngày tháng năm 2012 CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ):

Đơn vị:

Ngày bảo vệ:

Điểm tổng kết:

Nơi lưu trữ luận văn:

TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

o0o Ngày tháng năm 201… PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn) Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 1 Đề tài: “ Tìm hiểu về Network Access Control và ứng dụng FreeNAC ” 2 Họ tên người hướng dẫn: TS LƯU THANH TRÀ 3 Tổng quát về bản thuyết minh: Số trang Số chương

Số bảng số liệu Số hình vẽ

Số tài liệu tham khảo Phần mềm tính toán

4 Tổng quát về các bản vẽ: - Số bản vẽ: .bản A1 .bản A2 .khổ khác - Số bản vẽ tay - Số bản vẽ trên máy tính

5 Những ưu điểm chính của LVTN:

6 Những thiếu sót chính của LVTN:

7 Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ , Không được bảo vệ . 8 3 câu hỏi sinh viên trả lời trước Hội Đồng: a)

b)

c)

9 Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm ……….

Ký tên (ghi rõ họ tên)

TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

o0o Ngày tháng năm 201… PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người phản biện) Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 10 Đề tài: “ Tìm hiểu về Network Access Control và ứng dụng FreeNAC ” 11 Họ tên người phản biện: 12 Tổng quát về bản thuyết minh: Số trang Số chương

Số bảng số liệu Số hình vẽ

Số tài liệu tham khảo Phần mềm tính toán

13 Tổng quát về các bản vẽ: - Số bản vẽ: .bản A1 .bản A2 .khổ khác - Số bản vẽ tay - Số bản vẽ trên máy tính

14 Những ưu điểm chính của LVTN:

15 Những thiếu sót chính của LVTN:

16 Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ , Không được bảo vệ . 17 3 câu hỏi sinh viên trả lời trước Hội Đồng: a)

b)

c)

18 Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm ……….

Ký tên (ghi rõ họ tên)

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi đến Thầy, TS Lưu Thanh Trà lời cảm ơn chân thành và sâu sắcnhất Nhờ có sự hướng dẫn và giúp đỡ tận tình của Thầy trong suốt thời gian qua, em đã có thểthực hiện và hoàn thành Đồ Án Môn Học 1 và 2, Thực Tập Tốt Nghiệp và Luận Văn Tốt Nghiệp.Những lời nhận xét, góp ý và hướng dẫn tận tình của Thầy đã giúp em có một định hướng đúngđắn trong suốt quá trình thực hiện Đề tài, giúp em nhìn ra được những ưu khuyết điểm của Đề tài

và từng bước hoàn thiện hơn

Đồng thời, em xin trân trọng cảm ơn các Thầy Cô của Trường Đại Học Bách Khoa nóichung và của khoa Điện - Điện Tử nói riêng đã dạy dỗ em suốt quãng thời gian ngồi trên ghếgiảng đường Đại học Những lời giảng của Thầy Cô đã trang bị cho em nhiều kiến thức và giúp

em tích lũy thêm kinh nghiệm

Bên cạnh đó, con cũng chân thành cảm ơn sự động viên và sự hỗ trợ của gia đình và cha

mẹ trong suốt thời gian học tập Đặc biệt, con xin gửi lời cảm ơn trân trọng nhất đến cha mẹ,người đã sinh ra và nuôi dưỡng con nên người Sự quan tâm, lo lắng và hy sinh lớn lao của cha

mẹ luôn là động lực cho con cố gắng phấn đấu trên con đường học tập của mình Một lần nữa,con xin gửi đến cha mẹ lòng biết ơn sâu sắc nhất

Cuối cùng, tôi xin cảm ơn sự hỗ trợ và giúp đỡ của bạn bè trong thời gian học tập tạiTrường Đại Học Bách Khoa và trong quá trình hoàn trình hoàn thành Luận Văn Tốt Nghiệp này

Hồ Chí Minh, ngày 13 tháng 6 năm 2012 NGUYỄN XUÂN THẮNG

TÓM TẮT LUẬN VĂN

Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu vàvirus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kếthợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạtầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu

Trong khuôn khổ luận văn, em xin tập trung vào việc tìm hiểu Network Access Control(Kiểm soát truy cập mạng) và ứng dụng FreeNAC Các hãng lớn như Cisco, Juniper,ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêngmình Nhưng đối với Việt Nam thì các sản phẩm này vẫn rất đắt tiền Vì thế một ứng dụng mãnguồn mở như FreeNAC là thực sự đáng xem xét

Sinh viên thực hiện NGUYỄN XUÂN THẮNG

MỤC LỤC

Trang bìa i

Nhiệm vụ luận văn

Lời cảm ơn ii

Tóm tắt luận văn iii

Mục lục iv

Danh sách hình vẽ vii

Danh mục từ viết tắt ix

Nội dung luận văn PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG 1

PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC) 3

CHƯƠNG 1: TỔNG QUAN VỀ NAC 3

1.1 Khái niệm NAC và nhiệm vụ của NAC 3

1.1.1 Tính toàn vẹn của thiết bị đầu cuối 3

1.1.2 Chính sách 3

1.1.3 Kiểm tra đánh giá 3

1.1.4 Mở rộng đánh giá kiểm tra 4

1.1.5 Kiểm tra trước hay sau khi cho phép 4

1.2 Lý do cần triển khai Network Access Control (NAC) 4

CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 6

2.1 Các loại giải pháp NAC 6

2.1.1 Dựa trên thiết bị (Appliance-based) 6

2.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based) 8

2.1.3 Dựa trên máy chủ/máy khách (Client or host-based) 8

2.1.4 Giải pháp Clientless 9

2.1.5 NAC Layer 2 10

2.1.6 NAC Layer 3 11

CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC 13

3.1.1 Nhận dạng máy và người sử dụng 14

3.1.2 Tình trạng bảo mật của máy 15

3.2 Bước đánh giá (evaluate) 15

3.3 Bước khắc phục lỗi (Remediation) 16

3.4 Bước thực thi (enforce) 18

3.5 Bước giám sát (Monitor) 19

CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC 21

4.1 Những chính sách cần thiết 21

4.1.1 Chính sách quyền sử dụng hợp lý 21

4.1.2 Chính sách chống Virus 22

4.1.3 Chính sách sao lưu dữ liệu 22

4.1.4 Chính sách sử dụng E-mail 22

4.1.5 Chính sách Extranet 23

4.1.6 Chính sách sử dụng thiết bị di động 23

4.1.7 Chính sách Network Access Control 23

4.1.8 Chính sách mật khẩu 24

4.1.9 Chính sách bảo mật vật lý 24

4.1.10 Chính sách truy cập từ xa 25

4.2 Thực thi các chính sách 25

4.2.1 Tính hợp lý 25

4.2.2 Khả năng thực thi 26

4.2.3 Ngân sách cho chính sách mới 27

4.2.4 Đào tạo hàng loạt 28

4.3 Vòng đời của một chính sách bảo mật 29

4.4 Các tiêu chuẩn và tài nguyên Web 29

4.5 Viết chính sách bảo mật cho riêng công ty 30

CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC 34

5.1 Tìm hiểu về NAC 34

5.2 Tạo mới (hoặc sửa đổi) chính sách bảo mật của doanh nghiệp 34

5.4 Tìm hiếm yêu cầu đề xuất và thông tin nhà cung cấp 35

5.5 Thử nghiệm 35

5.6 Triển khai thí điểm 35

5.7 Triển khai thử trên một khu vực giới hạn 36

5.8 Triển khai toàn bộ và đánh giá chính sách 36

5.9 Triển khai toàn bộ cùng với việc thực thi chính sách 37

5.10 Xác định và đánh giá lại thường xuyên 37

CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC 38

6.1 Cisco Network Admission Control (Cisco NAC) 38

6.2 Microsoft Network Access Protection (NAP) 40

6.3 Trusted Network Connect (TNC) 42

PHẦN II : ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL 46

CHƯƠNG 7: TỔNG QUAN VỀ FREENAC 46

7.1 VLAN Management Policy Server (VMPS) 46

7.2 Các tính năng của FreeNAC 48

7.2.1 Quản lý truy cập theo nhóm người dùng 48

7.2.2 Phản ứng của hệ thống khi có thiết bị lạ 49

7.2.3 Cập nhật được hiện trạng của workstation và các switch 49

7.2.4 Ưu điểm khi sử dụng FreeNAC 49

7.2.5 Các hạn chế của FreeNAC 50

7.3 Mô hình, nguyên tắc hoạt động 51

CHƯƠNG 8 : MÔ HÌNH VÀ THỰC NGHIỆM 53

8.1 Mô hình xây dựng 53

8.2 Cài đặt 53

8.2.1 Cài đặt FreeNAC 53

8.2.2 Cấu hình trên Switch 56

8.3.1 Cài đặt GUI cấu hình trên máy chạy Window 57

8.3 Kiểm tra hoạt động của FreeNAC 58

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 61

TÀI LIỆU THAM KHẢO 62

DANH SÁCH HÌNH VẼ

PHẦN I

CHƯƠNG 2

Hình 2.1: Mô hình Inline 6

Hình 2.2: Mô hình Out-of-band 7

Hình 2.3: Client/host-based 9

Hình 2.4: NAC Layer 2 10

Hình 2.5: NAC Layer 3 11

CHƯƠNG 3 Hình 3.1: Các bước cơ bản để triển khai NAC 13

Hình 3.2: Bước xác định 14

Hình 3.3: Bước đánh giá 16

Hình 3.4: Bước khắc phục lỗi 17

Hình 3.5: Bước thực thi 18

Hình 3.6: Bước giám sát 19

CHƯƠNG 6 Hình 6.1: Mô hình kết nối cơ bản của Cisco NAC 38

Hình 6.2: Mô hình tổng quát của hệ thống Microsoft NAP 40

Hình 6.3: Hạ tầng của TNC 44

Hình 6.4: Hoạt động của TNC 44

PHẦN II CHƯƠNG 7 Hình 7.1: Hoạt động của VMPS 47

Hình 7.2: Các thiết bị switch hỗ trợ VMPS 48

Hình 7.3: Mô hình hoạt động của NAC 51

CHƯƠNG 8 Hình 8.1: Mô hình thực nghiệm 53

Hình 8.2: Chỉnh sửa file vmps.xml 58

Hình 8.3: Trạng thái các port trên Switch 59

Hình 8.4: Cấu hình VLAN trên VMPS Server 59

Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định 60

DANH MỤC TỪ VIẾT TẮT A

ACS Access Control Server

AR Access Request

C

CRM Customer Relationship Management

CTA Cisco Trust Agent

IEC International Electrotechnical Commission

IEEE Institute of Electrical and ElectronicsEngineers

IF-IMV

IMC Integrity Measurement Collectors

IMV Integrity Measurement Verifier

IP Internet Protocol

IPSec Internet Protocol Security

IPv4 Internet Protocol version 4

ISO International Organization for Standardization

IT Information Technology

L

LDAP Lightweight Directory Access Protocol

M

MAB Mac-Authentication Bypass

MAC Media access control

NAA Network Access Authority

NAC Network Access Control

NAD Network Access Device

NAP Network Access Protection

NAR Network Access Request

NPS Network Policy Server

PDA Personal Digital Assistant

PDP Policy Decision Point

PEAP Protected Authentication Protocol

PEP Policy Enforcement Point

R

RFP Request For Proposal

S

SHA System Health Agents

SNMP Simple Network Management Protocol

SSL Secure Sockets Layer

SSL VPN Secure Sockets Layer Virtual Private Network

T

TCG Trusted Computing Group

TLS Transport Layer Security

TNC Trusted Network Connect

TNCC Trusted Network Connect Client

TNCS Trusted Network Connect Server

U

UDP User Datagram Protocol

V

PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG

Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết cácdoanh nghiệp, công ty Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môitrường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâmcủa người quản lý Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảovấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưavào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng

Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm saokiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máytính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng đượcphép hay không được kết nối vào những khu vực bị hạn chế Ngoài ra còn cho phép nhà quản trị

dễ dàng điều khiển, di chuyển máy tính của người sử dụng các quyền đăng nhập, kết nối vào hệthống một cách nhanh chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm giánđoạn công việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản

Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập để sử dụngcác dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng Việc kiểm soát này phổ biến ở cáckhách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập Khi một máy tính muốn sử dụngInternet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được

Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập ở cấp độ kếtnối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình mạng Kiểm soát truy cập vào

hệ thống mạng rất cần thiết trong môi trường mạng nội bộ của công ty, doanh nghiệp có nhiềulớp mạng nhỏ, có nhiều vùng dữ liệu cần được an toàn, có nhiều kết nối tạm thời của khách, cónhiều sự thay đổi về vị trí làm việc Quá trình quản lý, điều khiển cần được thực hiện một cáchnhanh chóng, hiệu quả

Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi tiếng nhưCisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừa

và nhỏ Do đó việc tìm hiểu và sử dụng những sản phẩm mã nguồn mở đáp ứng các tính năng của

Antivirus, WSUS hình thành nên một hệ quản trị chặt chẽ hơn với việc kiểm tra độ an toàn củamáy tính (có phần mềm diệt Virus, cập nhập các bản vá mới nhất, cập nhập các bản vá lỗi của hệđiều hành Windows, …) rồi mới cho phép tham gia vào hệ thống mạng.

Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được phép kếtnối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống với tài khoản do ngườiquản lý cung cấp Dựa vào những thông tin đăng nhập người quản lý sẽ có được những thống kêngười dùng một cách rõ ràng hơn

FreeNAC được đánh giá là một sản phẩm hiệu quả trong việc kiểm soát truy cập mạng.Hoạt động của FreeNAC dựa trên nền VMPS của cisco và 802.1x của hầu hết các thiết bị mạng

hỗ trợ chia VLAN

Đề tài được chia làm 2 phần, gồm 8 chương

PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL

Chương 1: Tổng quan về NAC

Chương 2: Một số loại giải pháp NAC

Chương 3: Chu trình hoạt động của NAC

Chương 4: Viết chính sách bảo mật cho tổ chức

Chương 5: Mười bước hoạch định việc triển khai NAC

Chương 6: Tìm hiểu một số kiến trúc NAC

PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL

Chương 7: Tổng quan về FreeNAC

Chương 8: Mô hình và thực nghiệm

Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài Em rất mongnhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn

Sinh viên thực hiệnNguyễn Xuân Thắng

PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)

CHƯƠNG 1: TỔNG QUAN VỀ NAC

NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng) Việc định

nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thànhphần khác nhau Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họhoặc lý do tại sao họ muốn triển khai NAC Và khái niệm kiểm soát truy cập mạng có thể baogồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạngkhác nhau hay các phòng ban khác nhau trong tổ chức Khi so sánh các thành phần của NACtrong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó

1.1.1 Tính toàn vẹn của thiết bị đầu cuối

Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểmtra, đánh giá tính toàn vẹn thiết bị đầu cuối Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứngđược các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập

1.1.2 Chính sách

Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC Một tổ chức cóthể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùychỉnh và xác định các chính sách mà họ muốn sử dụng Những chính sách này thường tập trungvào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạnnhư phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phầnmềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụngkhác liên quan đến an ninh Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối cóthể bị tấn công hoặc hack như thế nào

1.1.3 Kiểm tra đánh giá

 Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạpmột sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không.NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa.

 Một số giải pháp NAC khác lại kiểm tra chi tiết hơn Kiểm tra các sản phẩm và tên phiênbản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật,cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực Một số giảipháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác

1.1.4 Mở rộng đánh giá kiểm tra

Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầucuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụthể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tratương tự khác Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm trathiết bị đầu cuối mà họ muốn Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tradựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở Một số khác cho phép tổ chức có thể tựđánh giá, kiểm tra và viết ra các chính sách cho riêng mình

1.1.5 Kiểm tra trước hay sau khi cho phép

Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC,khác biệt với các giải pháp khác Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết

bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng Loạikiểm tra này thường được gọi là Pre-admission (kiểm tra trước) Tuy nhiên, một số giải phápNAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhậpmạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau) Khi sử dụng post-admission,một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tratính toàn vẹn của thiết bị đầu cuối

NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao

việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinhdoanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát

hoặc giới hạn truy cập mạng Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng,

và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần

Ta cần triển khai NAC vì nhiều lý do:

CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC

Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC

 Dựa trên thiết bị (Appliance-based)

 Switch- or network equipment-based

 Client/host-based

 Clientless

2.1.1 Dựa trên thiết bị (Appliance-based)

Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máychủ, thiết bị phần cứng sẽ triển khai giải pháp NAC Các giải pháp dựa trên thiết bị được chiathành hai loại là Inline và Out-of-band (OOB)

 Inline

Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng nhưthực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2.1 Vị trínày cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng

AAA Server Identity Stores

Remediation Server 10.0.0.3

Protected Server 10.0.0.1 , 10.0.0.2

User Defaults IP 10.0.0.x Agent -> Inline Device

Inline Device

Hình 2.1: Mô hình Inline

Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm

“nghẽn cổ chai” Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được Cũng bởi vì

do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụngmạng

 Out-of-band

Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band,không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện tronghình 2.2

AAA Server

Identity

Stores

Remediation Server 172.16.0.1

Protected Server 10.0.0.1 , 10.0.0.2

Out-of-band Appliance Policy

User Defaults IP 10.0.0.x Agent -> Policy Server

Hình 2.2: Mô hình Out-of-band

Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline.Các ưu điểm của mô hình Out-of-band so với Inline:

 Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thànhphần bảo mật như là một phần của quá trình NAC.

 Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn sovới các giải pháp NAC Inline

 Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúngkhông ở trong lưu lượng mạng, không giống như các giải pháp Inline

 Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc

cơ sở hạ tầng bảo mật

2.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)

Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó.Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một

số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP

(Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn

khác

Một số chú ý khi triển các giải pháp này:

 Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như mộtthiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách

 Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứngđược khả năng hoạt động cơ bản của nó Nó không phải chỉ để phục vụ cho NAC

2.1.3 Dựa trên máy chủ/máy khách (Client or host-based)

Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máykhách (Client/host-based) Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng,

cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác Trong nhiều trường hợp, giải pháp này yêu cầumột máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập

Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quảntrị phải triển khai nó đến tận các thiết bị đầu cuối Ngoài ra còn gặp khó khăn nếu thiết bị đầucuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này

Giải pháp này có thể mô tả như hình 2.3 dưới đây

Endpoint Policy Server

AAA Server

Identity Stores

Remediation Server 10.0.0.3

User Defaults IP 10.0.0.x Host Agent -> Endpoint Policy Server

Protected Server

Hình 2.3: Client/host-based

2.1.4 Giải pháp Clientless

Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng

Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal” Ở đó khi người

sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web cụ thể để download mộtapplet (ứng dụng nhỏ) viết bằng Java hoặc Active X Ứng dụng này có thể nắm bắt thông tin đểxác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối

Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi lưu lượngmạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay không được quản lý,hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ thiết bị nào kết nối vào mạng đều cómột địa chỉ IP Bằng cách sử dụng các chính sách được xác định trước, hệ thống clientless sửdụng một thiết bị mạng để quyết định xem làm thế nào để xử lý thiết bị không thể quản lý được

Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc nhìn khác đó làtriển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open Systems Interconnection).

2.1.5 NAC Layer 2

Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông tin liên lạc vàchuyển giao thông tin giữa các thành phần mạng IEEE 802.1X (Port-based network accesscontrol) là giao thức quan trọng điều khiển truy cập cũng hoạt động ở Layer 2 Nhiều thiết bịchuyển mạch Ethernet và các điểm truy cập không dây triển khai trong các mạng trên toàn thếgiới ngày nay hỗ trợ giao thức 802.1X

Nhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công nghệ và tiêuchuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point, và các thiết bị tương tự.Layer 2 giao tiếp với các thành phần của NAC trong quá trình xác thực và quá trình thực thichính sách Hình vẽ dưới đây mô tả giải pháp NAC Layer 2

AAA Server

Identity Stores

Remediation Server 172.16.0.1 VLAN 1

Protected Server 10.0.0.1 , 10.0.0.2 VLAN 2

Authentication Server/

Radius Server

Unauthorized Port Default 172.16.0.x VLAN 1 Authorized Port Default IP : 10.0.0.x VLAN 2 Supplicant -> Access device ->

Radius Server

Hình 2.4: NAC Layer 2

2.1.6 NAC Layer 3

Lớp mạng (Layer 3: Network Layer) chịu trách nhiệm trong việc vận chuyển dữ liệu từnguồn tới đích trong một hay nhiều mạng Việc định tuyến trên mạng cũng thực hiện ở lớp 3.Một số giải pháp NAC được thực hiện ở lớp 3 Trong giải pháp này, “firewall” hoặc “securerouter” có thể được xem là nơi thực hiện NAC dựa trên địa chỉ IP Hình vẽ dưới đây mô tả giảipháp NAC Layer 3:

AAA Server

Identity

Stores

Remediation Server 172.16.0.1

Protected Server 10.0.0.1 , 10.0.0.2 Policy Server

User Defaults IP 10.0.0.x Agent -> Policy Server

Hình 2.5: NAC Layer 3

 Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải pháp, nhàcung cấp, sản phẩm cho phù hớp với mục đích

 Sau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển khai: Tổ chức

có thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu cuối hiện có,…với nỗ lực tối

tổ chức có thể xem xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giảipháp NAC Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trongthiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/host-based.

 Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâmtrọng yếu của tổ chức hay không Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chứcthì nên chọn giải pháp Out-of-band thực hiện ở Layer 2 và Layer 3

 Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp Clientless NAC

 Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những người nguyhiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông tin quý giá hay không Đểgiải quyết vấn đề này, có thể xem xét các giải pháp NAC có hỗ trợ xác thực hai hay nhiềutrường

 Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thìcần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng Điều này giúp choviệc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tàinguyên đúng với quyền hạn của mình

 Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sauđây:

 Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị

 Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị

 Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tậphợp phong phú được xác định trước về tính toàn vẹn của các thiết bị đầu cuối Nó cũngphải có khả năng tự động thay đổi tình trạng mạng, nếu có sự thay đổi thông tin trạng tháibảo mật thiết bị đầu cuối, thông tin mạng, hoặc thông tin người sử dụng Và bất kỳ giảipháp NAC nào được chọn cũng cần phải giải quyết có hiệu quả khắc phục hậu quả củangười sử dụng vi phạm, và thiết bị của họ, trước khi cấp quyền truy cập mạng

 Khả năng giám soát hoạt động của người dùng

 Khả năng tương thích với cơ sở hạ tầng mạng hiện có và khả năng mở rộng

 Tính linh hoạt và khả năng đơn giản trong việc quản trị

CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC

Bất kỳ giải pháp NAC nào cũng gồm năm bước để xác định mức độ truy cập cung cấpcho một người dùng hoặc máy:

Thực hiện NAC sẽ có rất ít hy vọng thành công, trừ khi tổ chức có kế hoạch và mục tiêuthích hợp Vì vậy, khi áp dụng NAC trong tổ chức, cần phải hiểu được ý nghĩa của chính sáchbảo mật của tổ chức và tác động của nó trên NAC (thể hiện trong các khu vực bóng mờ của hình3.1) NAC là thành phần chủ chốt của chính sách bảo mật của doanh nghiệp vì nó chỉ ra cách để

xử lý kiểm soát truy cập trên vào mạng doanh nghiệp

 Xác định ai đang truy cập và sử dụng thiết bị nào

 Liên kết thông tin đó với chính sách cụ thể về việc truy cập của người dùng

Khi một người sử dụng đầu tiên truy cập vào mạng công ty, hệ thống NAC xác thựcngười dùng đó Một hệ thống NAC có thể nhắc người sử dụng xác thực bằng nhiều cách:

 Nếu người dùng là một nhân viên sử dụng tài sản thuộc sở hữu công ty, tài sản đó đã càiđặt phần mềm NAC vào biểu tượng tiêu chuẩn của công ty

 Nếu người dùng là khách hoặc đối tác, vào mạng trong một thời gian ngắn mà không cầncho một phần mềm cài đặt vĩnh viễn, trình duyệt web của máy tính có thể hoạt động như

máy khách, chuyển hướng người dùng đến một cổng thông tin (captive portal) để xácthực.

Khi người dùng đã truy cập vào mạng, NAC xác định người sử dụng đó là ai và cung cấpthông tin cho bước tiếp theo - đánh giá

3.1.2 Tình trạng bảo mật của máy

Trong phần này, NAC sẽ lưu ý về tình hình bảo mật của các máy đang cố gắng truy cậpvào mạng để đảm bảo rằng không vô tình cho phép máy không an toàn vào mạng Việc cho phépbất cứ thứ gì truy cập vào mạng là rất rủi ro do nguy cơ từ những phần mềm độc hại, phần mềmgián điệp, virus, khai thác từ xa (remote exploits), …, NAC cần đánh giá các rủi ro liên quan đếnviệc cho phép các thiết bị không được quản lý vào mạng và từ đó đưa ra hành động thích hợp

Giai đoạn xác định cũng liên quan đến việc xác định các yếu tố môi trường khác như vị tríhoặc thời gian truy cập

 Vị trí có thể là yếu tố đóng một vai trò quan trọng khi đưa ra quyết định về việc cho phépmột người dùng truy cập vào mạng Ví dụ, chúng ta có thể cho khách truy cập chỉ trongmột số khu vực như phòng hội nghị và các khu vực công cộng Nếu một máy khách bấtngờ xuất hiện trong một khu vực bị giới hạn, NAC cung cấp khả năng từ chối truy cập

 Có thể hạn chế thời gian sử dụng trong ngày hoặc các ngày trong tuần cho người dùngnhất định Ví dụ, chúng ta có thể đảm bảo rằng nhân viên hoặc người sử dụng khác truycập vào dữ liệu của công ty chỉ trong giờ làm việc Khi nhân viên đó cố gắng truy cập dữliệu nhạy cảm của công ty từ nhà và vào cuối tuần, chúng ta có thể dùng chính sách tựđộng từ chối truy cập

Trong giai đoạn xác định (được thảo luận trong phần trước), NAC giúp chúng ta thu thậprất nhiều thông tin về người sử dụng, hoặc máy của họ, và các yếu tố môi trường kết hợp với cácyêu cầu truy cập Bước tiếp theo trong chu kì hoạt động của NAC là đánh giá (evaluate) Tronggiai đoạn này, hệ thống NAC sắp xếp tất cả các mảnh thông tin thu thập được trong giai đoạn xácđịnh

Hầu hết các triển khai NAC đều thiết lập các chính sách khác nhau cho từng nhóm ngườidùng khác nhau Trong giai đoạn này, hệ thống NAC kiểm tra hàng chục, hàng trăm thậm chíhàng ngàn phiên yêu cầu và phải xác định chính xác chính sách nào được áp dụng cho từng yêucầu đó.

Ví dụ, hệ thống NAC thực hiện xác thực người dùng, nhưng đồng thời, nó cũng lấy từ thưmục của tổ chức bất kỳ thông tin bổ sung cần thiết liên quan đến người sử dụng đó Thư mục của

tổ chức có thể bao gồm thông tin thành viên nhóm, trong đó cho biết người sử dụng là một thànhviên trong nhóm nào của tổ chức, từ đó NAC tự động phân biệt các nhân viên đó là từ các nhàthầu hay các thành viên của bộ phận Tài chính hoặc bộ phận Kỹ thuật

NAC sử dụng các thông tin này để xác định chính sách nào được áp dụng đối với từngyêu cầu đã được chứng thực cụ thể, sau đó đánh giá để cung cấp các mức độ truy cập thích hợp

Ví dụ, một nhân viên dùng một máy tính xách tay được quản lý thì máy tính đó sẽ được tựđộng sửa lỗi nếu nó không có một chương trình chống virus đã được cập nhật, trong khi đó, mộtnhà thầu sử dụng máy tính của riêng của mình có thể phải ngừng việc kiểm định, vì bộ phậnCNTT của tổ chức không thể sửa lỗi máy đó

Hình 3.3: Bước đánh giá

Khắc phục lỗi, thể hiện trong hình 3-4, là một bước tùy chọn trong chu trình NAC

Một số người dùng không bao giờ phải trải qua giai đoạn khắc phục lỗi nếu máy của họluôn phù hợp với các chính sách Ví dụ, nhóm quản lý máy tính có thể đã quản lý việc phân phốiphần mềm và giữ cho tất cả các máy của nhân viên luôn được sửa lỗi và cập nhật Khi đó, nếumột nhân viên truy cập mạng với máy tính đã được quản lý như vậy, NAC có thể bỏ qua bướckhắc phục lỗi, chuyển ngay đến bước thực thi.

Hình 3.4: Bước khắc phục lỗi

Bước khắc phục lỗi là một phần vô cùng quan trọng trong chu kì hoạt động NAC Trongbước này, hệ thống NAC của phải khắc phục tất cả các vấn đề để người dùng được truy cập đầy

đủ bất cứ tài nguyên nào mà họ được cho phép

Bất cứ nơi nào có thể, hãy sử dụng cơ chế khắc phục lỗi tự động Bằng cách sử dụng chứcnăng này, hệ thống NAC sẽ tự động sửa chữa các vấn đề mà nó tìm thấy trong các thiết bị đầucuối Ví dụ, nếu hệ thống NAC thấy rằng chương trình chống virus đã lỗi thời, nó có thể tự khởiđộng cơ chế cập nhật mà không cần tương tác với người dùng cuối Hoặc hệ thống NAC có thểgiúp một máy tính lấy các bản vá lỗi thích hợp nếu nó không tìm thấy chúng trong hệ thống củangười dùng cuối

Cần tránh tương tác với người dùng cuối Mặc dù hầu hết các hệ thống cung cấp cơ chếhướng dẫn người sử dụng tùy chỉnh cập nhật các chương trình chống virus, nhưng bước khôngcần thiết này có thể gây ra sự chậm trễ và dẫn đến nhiều cuộc gọi trợ giúp Cần phải triển khaisao cho người sử dụng cuối cùng thậm chí không xác định được đâu là chương trình chống viruscủa doanh nghiệp, họ không thể can thiệp vào việc mở phần mềm, cập nhật nó, và việc bảo vệ

thời gian thực Một chỉ dẫn tốt nhất trong bất kỳ chính sách bảo mật nào là người dùng cuối cùngcàng ít can thiệp thì càng tốt.

Sau khi thu thập tất cả các thông tin liên quan đến một yêu cầu truy cập mới, khắc phụclỗi, đánh giá xem chính sách nào phù hợp dựa trên những thông tin này thu thập được, và tìm rachính xác nguồn tài nguyên mà người sử dụng cuối cùng có thể truy cập, thì hệ thống NAC tiếptục thực thi các chính sách đó Sau khi hệ thống NAC xác định mức độ truy cập mà người dùngcuối có thể có, bước tiếp theo là thực thi, như thể hiện trong hình 3.5

Cuối cùng, máy chủ NAC phải cung cấp hướng dẫn cụ thể cho các mạng khác nhau vàcác thiết bị đầu cuối về những gì một người dùng cụ thể được phép truy cập trên mạng

Hình 3.5: Bước thực thi

Hầu hết nhà cung cấp giải pháp NAC sử dụng một trong ba điểm thực thi chính:

 Thiết bị đầu cuối (endpoint): Sử dụng phần mềm NAC đã được cài đặt như một phươngtiện để thực thi chính sách và kiểm soát truy cập

 Kiến trúc hạ tầng mạng chuyển mạch (switching infrastructure): (có dây, không dây, hoặc

cả hai) Các giải pháp này tận dụng các tiêu chuẩn 802.1X để kiểm soát truy cập, và ngăncấm hoặc cho phép người dùng kết nối vào mạng

 Thiết bị Inline (Inline appliances): Đối với các thiết bị này, các thiết bị trở thành các điểm

thực thi chính sách, và tất cả việc truy cập đều thông qua các thiết bị này

Mỗi phương pháp có ưu và nhược điểm của nó Nhưng khi hệ thống NAC của công ty xácđịnh mức độ truy cập của một người sử dụng, nó sẽ thông báo cho tất cả các điểm thực thi khácnhau là người sử dụng được phép truy cập để các điểm thực thi này có thể thực hiện các chínhsách thích hợp

Sau khi cho phép người dùng và máy tính truy cập vào mạng, cần đảm bảo rằng họ vẫntuân thủ các chính sách

Thực hiện một giải pháp bảo mật như kiểm soát truy cập mạng sẽ không còn tác dụng nếuchỉ kiểm tra việc tuân thủ chính sách ở mỗi giai đoạn đầu Điều đó giống như việc tuần tra đườngtốc độ trên đường cao tốc mà chỉ kiểm tra đầu đường, và sau đó cho là tất cả mọi người mà vẫnduy trì giới hạn tốc độ trong suốt phần đường còn lại

Giai đoạn cuối cùng - theo dõi – đóng vai trò giúp chắc chắn rằng tất cả mọi người vẫntuân thủ các chính sách (như thể hiện trong hình 3-6)

Hình 3.6: Bước giám sát

Khi NAC giám sát mạng, nó liên tục theo dõi người dùng và thiết bị đầu cuối để chắc

 Nếu một người sử dụng tắt tường lửa cá nhân của mình hoặc ứng dụng chống virus, hệthống NAC sẽ có thể phát hiện ra sự thay đổi và có phản ứng phù hợp.

 Có thể nhà cung cấp hệ thống điều hành của công ty dùng một bản vá lỗi để sửa chữa một

lỗ hổng bảo mật Hệ thống NAC cần cho phép thực thi chính sách quét bản vá lỗi, sau khi

bộ phận IT đưa nó đến tất cả các hệ thống quản lý, để có thể đảm bảo tất cả mọi người đãđược chấp nhận và cài đặt các bản vá

Có thể chọn một trong hai cách giám sát chính:

 Dựa trên thời gian (Time-based): Quét hệ thống ở một khoảng thời gian do quản trị viên

xác định và điều chỉnh khi nó tìm thấy thay đổi

 Dựa trên biến cố (Event-driven): Chủ động theo dõi hệ thống và phản ứng ngay lập tức

khi có bất kỳ thay đổi nào

Nói chung, nếu muốn chức năng giám sát phản ứng với các biến cố mới một cách nhanhnhất, cách giám sát dựa trên biến cố có thể làm được điều này Nhưng không phải lúc nào cũng

có thể thực hiện các giải pháp này vì những lý do khác nhau, bao gồm hiệu suất của thiết bị đầucuối Trong một số trường hợp, cách giám sát dựa trên biến cố sẽ tiêu tốn nhiều tài nguyên trênthiết bị đầu cuối, điều này đặc biệt quan trọng đối với hệ thống cũ hoặc yếu

Khi hoặc nếu một phần của hệ thống NAC, thực hiện việc giám sát, phát hiện một thayđổi về tình trạng, thông tin này nên phản hồi trực tiếp để có một sự thay đổi trong viêc kiểm soáttruy cập hoặc có thể khắc phục hậu quả cho các thiết bị đầu cuối Tại thời điểm này, chu trìnhNAC về cơ bản đã hoàn tất chu trình và tiếp tục quay lại bước đầu tiên trong chu trình, đảm bảorằng quá trình này xảy ra không chỉ một lần, mà liên tục trong suốt quá trình người dùng và máytính truy cập vào mạng

CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC

Trong chương này, chúng ta sẽ xem xét các yếu tố cần tính đến trong chính sách bảo mậtcủa công ty Cần phải kiểm soát nhiều yếu tố đa dạng, trong số đó nhiều yếu tố có ảnh hưởng trựctiếp đến mục tiêu thực hiện NAC Chương này sẽ chỉ ra một số ví dụ về chính sách bảo mật, vàmột số ứng dụng tốt nhất để có thể chắc chắn rằng mọi người trong công ty – từ những ngườiquản trị IT đến những người sử dụng – đều chấp nhận và làm theo các chính sách bảo mật Làmtheo những ứng dụng này giúp cho việc hoạch định NAC dễ dàng hơn và đảm bảo là việc thựchiện tuân theo những mục tiêu rõ ràng của công ty một cách chặt chẽ nhất

Một chính sách bảo mật tốt sẽ thể hiện đầy đủ phương hướng bảo mật toàn công ty NAC

có thể là yếu tố cốt yếu của chính sách này, nhưng một chính sách bảo mật rộng hơn cần nhiềuyếu tố khác, và có những yếu tố ảnh hưởng đến việc đưa vào sử dụng NAC Trước khi bắt đầuviệc triển khai, cần phải biết mục tiêu cho NAC là gì, và chính sách bảo mật sẽ dẫn dắt các mụctiêu đó

thông báo bằng điện tử cho người sử dụng cuối cùng về việc họ có thể và không thể làm gì tronggiờ làm việc tại công ty hay trong khi sử dụng tài sản công ty và nguồn tài nguyên mạng.

4.1.2 Chính sách chống Virus

Chính sách chống virus chỉ ra rằng mỗi máy cần có một ứng dụng chống virus đã được càiđặt, cập nhật và đang hoạt động Tuy nhiên, thêm vào đó, cũng cần phải chỉ cho người sử dụngcách xử lý thư rác, các tập tin đính kèm lạ, hoặc các loại file trông giống như virus Chính sáchchống virus có thể xác định liệu khách hàng, nhà thầu, và người sử dụng khác trên máy khôngphải của công ty có cần thiết phải có một ứng dụng chống virus chạy trên máy của họ trước khikết nối với mạng công ty hay không

Chính sách chống virus có thể là một chính sách quan trọng để triển khai NAC Nếu công

ty có chính sách chống virus, NAC có thể là các phần của công nghệ giúp thực thi chính sáchnày, cũng như giúp các máy sửa lỗi và cập nhật Phải chắc chắn là có mối liên kết giữa giải phápNAC và chính sách chống virus khi thiết kế giải pháp NAC

4.1.3 Chính sách sao lưu dữ liệu

Chính sách sao lưu chỉ ra rằng tổ chức, và đặc biệt, người sử dùng cần phải làm gì để giữcho thông tin và dữ liệu của công ty được sao lưu một cách an toàn Một chính sách sao lưu dữliệu là đặc biệt quan trọng nếu có rất nhiều máy tính xách tay hoặc các loại thiết bị di động khác,

vì có thể bị mất hoặc bị đánh cắp Việc sao lưu những dữ liệu này trở nên quan trọng, và chínhsách này cũng chỉ ra loại dữ liệu nào người sử dụng cần sao lưu và mức độ sao lưu thường xuyênnhư thế nào Chính sách này cũng có thể chỉ rõ người dùng phải sao lưu dữ liệu như thế nào và aicần phải đảm bảo rằng việc sao lưu được thực hiện đúng như kế hoạch

4.1.4 Chính sách sử dụng E-mail

Tùy thuộc vào cách mà tổ chức lựa chọn để định hình cơ cấu chính sách, có thể xem chínhsách sử dụng e-mail là một phần của chính sách quyền sử dụng hợp lý, hoặc có thể tạo ra mộtchính sách sử dụng e-mail riêng Chính sách sử dụng e-mail yêu cầu sử dụng e-mail thích đáng -người dùng có thể gửi và nhận e-mail cá nhân nếu nội dung không bị công ty cấm hoặc giới hạn.Chính sách sử dụng e-mail cũng có thể chỉ ra rằng công ty có quyền giám sát và ngăn chặn thôngtin liên lạc của bất kỳ nhân viên nào, nghĩa là người dùng không có quyền riêng tư khi sử dụngtài sản công ty để thực hiện kinh doanh hoặc liên lạc cá nhân

4.1.5 Chính sách Extranet

Chính sách Extranet mô tả quá trình mà theo đó các bên thứ ba có thể truy cập tài nguyêncủa công ty thông qua một Extranet Nhiều công ty yêu cầu rằng một nhà thầu, khách hàng, hoặcđối tác phải thông qua quá trình phê duyệt trước khi người đó có thể truy cập vào mạng từ xa.Chính sách Extranet cũng có thể chỉ ra quyền sử dụng hợp lý và các quy định khác mà các bênthứ ba phải tuân theo Chính sách Extranet cũng bao gồm quyền truy đòi nếu bên thứ ba phá vỡcác quy tắc này

4.1.6 Chính sách sử dụng thiết bị di động

Bởi vì nhiều tổ chức đang bắt đầu cho phép nhân viên sử dụng thiết bị di động (chẳng hạnnhư PDA và điện thoại thông minh) để truy cập vào mạng, các chính sách sử dụng thiết bị diđộng đã trở nên phổ biến Chính sách sử dụng thiết bị di động chỉ ra rằng những nhân viên muốn

sử dụng các thiết bị di động để truy cập tài nguyên của công ty thì đầu tiên phải được phê duyệttrước khi truy cập Chính sách này cũng chỉ ra rằng liệu các thiết bị có phải tự bảo vệ bằng cách

sử dụng mã hóa đĩa, chức năng xóa đĩa từ xa, và các công nghệ giảm thiểu các hành vi trộm cắphoặc mất mát khác hay không Chính sách này cũng bao gồm quyền sử dụng hợp lý các thiết bị diđộng và bao gồm việc một máy có thể truy cập được tất cả tài nguyên Chính sách sử dụng thiết

bị di động nói đến việc sử dụng hợp lý các phương tiện truyền thông di động mà có thể gắn vớicác thiết bị này và lưu trữ dữ liệu

Chính sách sử dụng thiết bị di động nói đến việc những người được phép sử dụng các loạithiết bị để truy cập vào mạng bởi vì tổ chức có thể cấm một số vị trí hoặc chức danh công việcnhất định sử dụng các thiết bị này để truy cập vào mạng

Việc áp dụng NAC hay SSL VPN (tùy thuộc vào chính sách cho truy cập từ xa hoặc địaphương) đóng một vai trò trong khả năng kiểm soát truy cập từ các thiết bị này

4.1.7 Chính sách Network Access Control

Chính sách NAC có thể chỉ ra số cấp độ truy cập người dùng nhận được khi họ vào mạng,bao gồm các loại chứng thực mà các nhân viên, khách hàng, nhà thầu, đối tác,… nhận được.Chính sách này cũng chỉ ra các loại ứng dụng bảo mật thiết bị đầu cuối mà thiết bị đầu cuối phải

4.1.8 Chính sách mật khẩu

Chính sách mật khẩu chỉ ra tất cả mọi thứ liên quan đến việc quản lý và duy trì mật khẩu.Chính sách này có thể phác thảo các loại mật khẩu khác nhau, với yêu cầu bảo mật riêng của từngloại, ví dụ, người dùng truy cập hệ thống có độ nhạy cao (highly sensitive systems ) thì có thể cầnnhững yêu cầu mật khẩu nghiêm ngặt hơn so với những người dùng không truy cập hệ thống này

Các chính sách mật khẩu thường quy định thời gian thay đổi mật khẩu, ví dụ hàng quý.Ngoài ra, chính sách này thường bao gồm các yêu cầu về tính phức tạp và chiều dài tối thiểu củamật khẩu Nhiều tổ chức chỉ định là mật khẩu phải kết hợp các ký tự, số và các ký hiệu để làmcho mật khẩu khó đoán hơn Chính sách này cũng có thể chỉ ra các chính sách phục hồi mật khẩu

và liệu có thể tái sử dụng mật khẩu cũ hay không, v.v…

Các chính sách mật khẩu cũng cần quy định người dùng cuối có thể cung cấp mật khẩucủa mình cho ai và vào lúc nào Ví dụ, nếu bộ phận IT không bao giờ đòi mật khẩu của người sửdụng, thì người dùng không nên cung cấp mật khẩu của mình qua điện thoại, qua e-mail,

Công ty cũng có thể yêu cầu người sử dụng không viết mật khẩu của mình vào các giấyghi chú và dán chúng trên bàn làm việc của họ một nơi nào đó – đây là một thực trạng vẫn còntồn tại ngày nay (Nhiều người trong số các hacker thành công nhất trong lịch sử có nhiều kỹnăng thao túng người dùng và kĩ thuật social engineering (phương pháp phi kỹ thuật đột nhập vào

hệ thống hoặc mạng công ty) hơn là phương pháp brute-force (phương pháp tấn công bằng cáchthử tất cả những chìa khóa có thể có) khi xâm nhập vào hệ thống bảo mật.)

4.1.9 Chính sách bảo mật vật lý

Chính sách bảo mật vật lý liên quan đến việc truy cập vào các vị trí vật lý của công ty Cóthể xem xét xem bảo mật vật lý có là một phần của kế hoạch tổng thể hay không, nhưng cũnggiống như với chính sách mật khẩu, bảo mật vật lý là vô cùng quan trọng để bảo vệ các tài sảnnhạy cảm của công ty

Chính sách bảo mật vật lý mô tả các cơ chế ví dụ như cơ chế đọc và giám sát thẻ nhânviên Nó cũng mô tả làm thế nào để tránh các sai sót an ninh như tailgating - một thực trạng phổbiến, trong đó một người dùng trái phép theo sau một nhân viên hợp pháp để thông qua các cửa

ra vào của tòa nhà, tránh các đầu đọc thẻ Những vi phạm an ninh này là nguồn tiềm tàng lỗ hổng