Tìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tập
Trang 1MỤC LỤC
Trang bìa i
Nhiệm vụ luận văn
Lời cảm ơn ii
Tóm tắt luận văn iii
Mục lục iv
Danh sách hình vẽ vii
Danh mục từ viết tắt ix
Nội dung luận văn PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG 1
PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC) 3
CHƯƠNG 1: TỔNG QUAN VỀ NAC 3
1.1 Khái niệm NAC và nhiệm vụ của NAC 3
1.1.1 Tính toàn vẹn của thiết bị đầu cuối 3
1.1.2 Chính sách 3
1.1.3 Kiểm tra đánh giá 3
1.1.4 Mở rộng đánh giá kiểm tra 4
1.1.5 Kiểm tra trước hay sau khi cho phép 4
1.2 Lý do cần triển khai Network Access Control (NAC) 4
CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 6
2.1 Các loại giải pháp NAC 6
2.1.1 Dựa trên thiết bị (Appliance-based) 6
2.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based) 8
2.1.3 Dựa trên máy chủ/máy khách (Client or host-based) 8
2.1.4 Giải pháp Clientless 9
2.1.5 NAC Layer 2 10
2.1.6 NAC Layer 3 11
CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC 13
3.1 Bước xác định (Assess) 14
Trang 23.1.1 Nhận dạng máy và người sử dụng 14
3.1.2 Tình trạng bảo mật của máy 15
3.2 Bước đánh giá (evaluate) 15
3.3 Bước khắc phục lỗi (Remediation) 16
3.4 Bước thực thi (enforce) 18
3.5 Bước giám sát (Monitor) 19
CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC 21
4.1 Những chính sách cần thiết 21
4.1.1 Chính sách quyền sử dụng hợp lý 21
4.1.2 Chính sách chống Virus 22
4.1.3 Chính sách sao lưu dữ liệu 22
4.1.4 Chính sách sử dụng E-mail 22
4.1.5 Chính sách Extranet 23
4.1.6 Chính sách sử dụng thiết bị di động 23
4.1.7 Chính sách Network Access Control 23
4.1.8 Chính sách mật khẩu 24
4.1.9 Chính sách bảo mật vật lý 24
4.1.10 Chính sách truy cập từ xa 25
4.2 Thực thi các chính sách 25
4.2.1 Tính hợp lý 25
4.2.2 Khả năng thực thi 26
4.2.3 Ngân sách cho chính sách mới 27
4.2.4 Đào tạo hàng loạt 28
4.3 Vòng đời của một chính sách bảo mật 29
4.4 Các tiêu chuẩn và tài nguyên Web 29
4.5 Viết chính sách bảo mật cho riêng công ty 30
CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC 34
5.1 Tìm hiểu về NAC 34
5.2 Tạo mới (hoặc sửa đổi) chính sách bảo mật của doanh nghiệp 34
5.4 Tìm hiếm yêu cầu đề xuất và thông tin nhà cung cấp 35
Trang 35.5 Thử nghiệm 35
5.6 Triển khai thí điểm 35
5.7 Triển khai thử trên một khu vực giới hạn 36
5.8 Triển khai toàn bộ và đánh giá chính sách 36
5.9 Triển khai toàn bộ cùng với việc thực thi chính sách 37
5.10 Xác định và đánh giá lại thường xuyên 37
CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC 38
6.1 Cisco Network Admission Control (Cisco NAC) 38
6.2 Microsoft Network Access Protection (NAP) 40
6.3 Trusted Network Connect (TNC) 42
PHẦN II : ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL 46
CHƯƠNG 7: TỔNG QUAN VỀ FREENAC 46
7.1 VLAN Management Policy Server (VMPS) 46
7.2 Các tính năng của FreeNAC 48
7.2.1 Quản lý truy cập theo nhóm người dùng 48
7.2.2 Phản ứng của hệ thống khi có thiết bị lạ 49
7.2.3 Cập nhật được hiện trạng của workstation và các switch 49
7.2.4 Ưu điểm khi sử dụng FreeNAC 49
7.2.5 Các hạn chế của FreeNAC 50
7.3 Mô hình, nguyên tắc hoạt động 51
CHƯƠNG 8 : MÔ HÌNH VÀ THỰC NGHIỆM 53
8.1 Mô hình xây dựng 53
8.2 Cài đặt 53
8.2.1 Cài đặt FreeNAC 53
8.2.2 Cấu hình trên Switch 56
8.3.1 Cài đặt GUI cấu hình trên máy chạy Window 57
8.3 Kiểm tra hoạt động của FreeNAC 58
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 61
TÀI LIỆU THAM KHẢO 62
Trang 4DANH SÁCH HÌNH VẼ
PHẦN I
CHƯƠNG 2
Hình 2.1: Mô hình Inline 6
Hình 2.2: Mô hình Out-of-band 7
Hình 2.3: Client/host-based 9
Hình 2.4: NAC Layer 2 10
Hình 2.5: NAC Layer 3 11
CHƯƠNG 3 Hình 3.1: Các bước cơ bản để triển khai NAC 13
Hình 3.2: Bước xác định 14
Hình 3.3: Bước đánh giá 16
Hình 3.4: Bước khắc phục lỗi 17
Hình 3.5: Bước thực thi 18
Hình 3.6: Bước giám sát 19
CHƯƠNG 6 Hình 6.1: Mô hình kết nối cơ bản của Cisco NAC 38
Hình 6.2: Mô hình tổng quát của hệ thống Microsoft NAP 40
Hình 6.3: Hạ tầng của TNC 44
Hình 6.4: Hoạt động của TNC 44
PHẦN II CHƯƠNG 7 Hình 7.1: Hoạt động của VMPS 47
Hình 7.2: Các thiết bị switch hỗ trợ VMPS 48
Hình 7.3: Mô hình hoạt động của NAC 51
CHƯƠNG 8 Hình 8.1: Mô hình thực nghiệm 53
Hình 8.2: Chỉnh sửa file vmps.xml 58
Hình 8.3: Trạng thái các port trên Switch 59
Hình 8.4: Cấu hình VLAN trên VMPS Server 59
Trang 5Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định 60
Trang 6DANH MỤC TỪ VIẾT TẮT A
ACS Access Control Server
AR Access Request
C
CRM Customer Relationship Management
CTA Cisco Trust Agent
IEC International Electrotechnical Commission
IEEE Institute of Electrical and ElectronicsEngineers
IF-IMV
IMC Integrity Measurement Collectors
IMV Integrity Measurement Verifier
IP Internet Protocol
IPSec Internet Protocol Security
IPv4 Internet Protocol version 4
ISO International Organization for Standardization
IT Information Technology
L
LDAP Lightweight Directory Access Protocol
M
MAB Mac-Authentication Bypass
MAC Media access control
Trang 7NAA Network Access Authority
NAC Network Access Control
NAD Network Access Device
NAP Network Access Protection
NAR Network Access Request
NPS Network Policy Server
PDA Personal Digital Assistant
PDP Policy Decision Point
PEAP Protected Authentication Protocol
PEP Policy Enforcement Point
R
RFP Request For Proposal
S
SHA System Health Agents
SNMP Simple Network Management Protocol
SSL Secure Sockets Layer
SSL VPN Secure Sockets Layer Virtual Private Network
T
TCG Trusted Computing Group
TLS Transport Layer Security
TNC Trusted Network Connect
TNCC Trusted Network Connect Client
TNCS Trusted Network Connect Server
U
UDP User Datagram Protocol
V
VLAN Virtual Local Area Network
VMPS VLAN Management Policy Server
VPN Virtual Private Network
Trang 9PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG
Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết cácdoanh nghiệp, công ty Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môitrường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâmcủa người quản lý Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảovấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưavào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng
Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm saokiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máytính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng đượcphép hay không được kết nối vào những khu vực bị hạn chế Ngoài ra còn cho phép nhà quản trị
dễ dàng điều khiển, di chuyển máy tính của người sử dụng các quyền đăng nhập, kết nối vào hệthống một cách nhanh chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm giánđoạn công việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản
Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập để sử dụngcác dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng Việc kiểm soát này phổ biến ở cáckhách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập Khi một máy tính muốn sử dụngInternet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được
Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập ở cấp độ kếtnối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình mạng Kiểm soát truy cập vào
hệ thống mạng rất cần thiết trong môi trường mạng nội bộ của công ty, doanh nghiệp có nhiềulớp mạng nhỏ, có nhiều vùng dữ liệu cần được an toàn, có nhiều kết nối tạm thời của khách, cónhiều sự thay đổi về vị trí làm việc Quá trình quản lý, điều khiển cần được thực hiện một cáchnhanh chóng, hiệu quả
Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi tiếng nhưCisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừa
và nhỏ Do đó việc tìm hiểu và sử dụng những sản phẩm mã nguồn mở đáp ứng các tính năng củaviệc quản lý truy cập mạng là cần thiết Sử dụng FreeNAC tích hợp chung với hệ thống
Trang 10Antivirus, WSUS hình thành nên một hệ quản trị chặt chẽ hơn với việc kiểm tra độ an toàn củamáy tính (có phần mềm diệt Virus, cập nhập các bản vá mới nhất, cập nhập các bản vá lỗi của hệđiều hành Windows, …) rồi mới cho phép tham gia vào hệ thống mạng.
Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được phép kếtnối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống với tài khoản do ngườiquản lý cung cấp Dựa vào những thông tin đăng nhập người quản lý sẽ có được những thống kêngười dùng một cách rõ ràng hơn
FreeNAC được đánh giá là một sản phẩm hiệu quả trong việc kiểm soát truy cập mạng.Hoạt động của FreeNAC dựa trên nền VMPS của cisco và 802.1x của hầu hết các thiết bị mạng
hỗ trợ chia VLAN
Đề tài được chia làm 2 phần, gồm 8 chương
PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL
Chương 1: Tổng quan về NAC
Chương 2: Một số loại giải pháp NAC
Chương 3: Chu trình hoạt động của NAC
Chương 4: Viết chính sách bảo mật cho tổ chức
Chương 5: Mười bước hoạch định việc triển khai NAC
Chương 6: Tìm hiểu một số kiến trúc NAC
PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL
Chương 7: Tổng quan về FreeNAC
Chương 8: Mô hình và thực nghiệm
Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài Em rất mongnhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn
Sinh viên thực hiệnNguyễn Xuân Thắng
Trang 11PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)
CHƯƠNG 1: TỔNG QUAN VỀ NAC
1.1 Khái niệm NAC và nhiệm vụ của NAC
NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng) Việc định
nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thànhphần khác nhau Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họhoặc lý do tại sao họ muốn triển khai NAC Và khái niệm kiểm soát truy cập mạng có thể baogồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạngkhác nhau hay các phòng ban khác nhau trong tổ chức Khi so sánh các thành phần của NACtrong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó
1.1.1 Tính toàn vẹn của thiết bị đầu cuối
Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểmtra, đánh giá tính toàn vẹn thiết bị đầu cuối Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứngđược các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập
1.1.2 Chính sách
Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC Một tổ chức cóthể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùychỉnh và xác định các chính sách mà họ muốn sử dụng Những chính sách này thường tập trungvào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạnnhư phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phầnmềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụngkhác liên quan đến an ninh Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối cóthể bị tấn công hoặc hack như thế nào
1.1.3 Kiểm tra đánh giá
Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau
Trang 12 Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạpmột sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ an ninh hay không.NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm đó chưa.
Một số giải pháp NAC khác lại kiểm tra chi tiết hơn Kiểm tra các sản phẩm và tên phiênbản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật,cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực Một số giảipháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác
1.1.4 Mở rộng đánh giá kiểm tra
Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầucuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụthể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tratương tự khác Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm trathiết bị đầu cuối mà họ muốn Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tradựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở Một số khác cho phép tổ chức có thể tựđánh giá, kiểm tra và viết ra các chính sách cho riêng mình
1.1.5 Kiểm tra trước hay sau khi cho phép
Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC,khác biệt với các giải pháp khác Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết
bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng Loạikiểm tra này thường được gọi là Pre-admission (kiểm tra trước) Tuy nhiên, một số giải phápNAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhậpmạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau) Khi sử dụng post-admission,một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tratính toàn vẹn của thiết bị đầu cuối
1.2 Lý do cần triển khai Network Access Control (NAC)
NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao
việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinhdoanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát
Trang 13hoặc giới hạn truy cập mạng Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng,
và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần
Ta cần triển khai NAC vì nhiều lý do:
Trang 14CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC
2.1 Các loại giải pháp NAC
Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC
Dựa trên thiết bị (Appliance-based)
Switch- or network equipment-based
Client/host-based
Clientless
2.1.1 Dựa trên thiết bị (Appliance-based)
Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máychủ, thiết bị phần cứng sẽ triển khai giải pháp NAC Các giải pháp dựa trên thiết bị được chiathành hai loại là Inline và Out-of-band (OOB)
Inline
Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý, và cũng nhưthực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2.1 Vị trínày cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng
Trang 15Hình 2.1: Mô hình Inline
Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm
“nghẽn cổ chai” Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được Cũng bởi vì
do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụngmạng
Out-of-band
Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band,không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện tronghình 2.2
Hình 2.2: Mô hình Out-of-band
Mô hình này là mô hình thường được triển khai trong thực tế nhiều hơn mô hình Inline.Các ưu điểm của mô hình Out-of-band so với Inline:
Trang 16 Có thể hạn chế sự gián đoạn mạng của tổ chức và tận dụng mạng hiện có và các thànhphần bảo mật như là một phần của quá trình NAC.
Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn sovới các giải pháp NAC Inline
Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúngkhông ở trong lưu lượng mạng, không giống như các giải pháp Inline
Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc
cơ sở hạ tầng bảo mật
2.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)
Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó.Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một
số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP
(Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn
khác
Một số chú ý khi triển các giải pháp này:
Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như mộtthiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách
Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứngđược khả năng hoạt động cơ bản của nó Nó không phải chỉ để phục vụ cho NAC
2.1.3 Dựa trên máy chủ/máy khách (Client or host-based)
Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máykhách (Client/host-based) Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng,
cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác Trong nhiều trường hợp, giải pháp này yêu cầumột máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập
Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quảntrị phải triển khai nó đến tận các thiết bị đầu cuối Ngoài ra còn gặp khó khăn nếu thiết bị đầucuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này
Trang 17Giải pháp này có thể mô tả như hình 2.3 dưới đây
Hình 2.3: Client/host-based
2.1.4 Giải pháp Clientless
Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng
Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal” Ở đó khi người
sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web cụ thể để download mộtapplet (ứng dụng nhỏ) viết bằng Java hoặc Active X Ứng dụng này có thể nắm bắt thông tin đểxác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối
Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi lưu lượngmạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay không được quản lý,hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ thiết bị nào kết nối vào mạng đều cómột địa chỉ IP Bằng cách sử dụng các chính sách được xác định trước, hệ thống clientless sửdụng một thiết bị mạng để quyết định xem làm thế nào để xử lý thiết bị không thể quản lý được
Trang 18Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc nhìn khác đó làtriển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open Systems Interconnection).
2.1.5 NAC Layer 2
Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông tin liên lạc vàchuyển giao thông tin giữa các thành phần mạng IEEE 802.1X (Port-based network accesscontrol) là giao thức quan trọng điều khiển truy cập cũng hoạt động ở Layer 2 Nhiều thiết bịchuyển mạch Ethernet và các điểm truy cập không dây triển khai trong các mạng trên toàn thếgiới ngày nay hỗ trợ giao thức 802.1X
Nhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công nghệ và tiêuchuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point, và các thiết bị tương tự.Layer 2 giao tiếp với các thành phần của NAC trong quá trình xác thực và quá trình thực thichính sách Hình vẽ dưới đây mô tả giải pháp NAC Layer 2
Hình 2.4: NAC Layer 2
Trang 19Hình 2.5: NAC Layer 3
2.2 Cách chọn giải pháp NAC phù hợp
Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải pháp, nhàcung cấp, sản phẩm cho phù hớp với mục đích
Sau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển khai: Tổ chức
có thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu cuối hiện có,…với nỗ lực tối
đa hóa hiệu quả, duy trì chi phí, và bảo vệ các khoản đầu tư mạng hiện có Nếu chi phí là
Trang 20một vấn đề quan trọng hơn, và khả năng mở rộng và hiệu suất không phải là quan trọng,
tổ chức có thể xem xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giảipháp NAC Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trongthiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/host-based
Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâmtrọng yếu của tổ chức hay không Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chứcthì nên chọn giải pháp Out-of-band thực hiện ở Layer 2 và Layer 3
Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp Clientless NAC
Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những người nguyhiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông tin quý giá hay không Đểgiải quyết vấn đề này, có thể xem xét các giải pháp NAC có hỗ trợ xác thực hai hay nhiềutrường
Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thìcần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng Điều này giúp choviệc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tàinguyên đúng với quyền hạn của mình
Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sauđây:
Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị
Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị
Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tậphợp phong phú được xác định trước về tính toàn vẹn của các thiết bị đầu cuối Nó cũngphải có khả năng tự động thay đổi tình trạng mạng, nếu có sự thay đổi thông tin trạng tháibảo mật thiết bị đầu cuối, thông tin mạng, hoặc thông tin người sử dụng Và bất kỳ giảipháp NAC nào được chọn cũng cần phải giải quyết có hiệu quả khắc phục hậu quả củangười sử dụng vi phạm, và thiết bị của họ, trước khi cấp quyền truy cập mạng
Trang 21 Khả năng giám soát hoạt động của người dùng.
Khả năng tương thích với cơ sở hạ tầng mạng hiện có và khả năng mở rộng
Tính linh hoạt và khả năng đơn giản trong việc quản trị
Trang 22CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC
Bất kỳ giải pháp NAC nào cũng gồm năm bước để xác định mức độ truy cập cung cấpcho một người dùng hoặc máy:
Thực hiện NAC sẽ có rất ít hy vọng thành công, trừ khi tổ chức có kế hoạch và mục tiêuthích hợp Vì vậy, khi áp dụng NAC trong tổ chức, cần phải hiểu được ý nghĩa của chính sáchbảo mật của tổ chức và tác động của nó trên NAC (thể hiện trong các khu vực bóng mờ của hình3.1) NAC là thành phần chủ chốt của chính sách bảo mật của doanh nghiệp vì nó chỉ ra cách để
xử lý kiểm soát truy cập trên vào mạng doanh nghiệp
Hình 3.1: Các bước cơ bản để triển khai NAC
Trang 23 Xác định ai đang truy cập và sử dụng thiết bị nào
Liên kết thông tin đó với chính sách cụ thể về việc truy cập của người dùng
Khi một người sử dụng đầu tiên truy cập vào mạng công ty, hệ thống NAC xác thực ngườidùng đó Một hệ thống NAC có thể nhắc người sử dụng xác thực bằng nhiều cách:
Nếu người dùng là một nhân viên sử dụng tài sản thuộc sở hữu công ty, tài sản đó đã càiđặt phần mềm NAC vào biểu tượng tiêu chuẩn của công ty
Trang 24 Nếu người dùng là khách hoặc đối tác, vào mạng trong một thời gian ngắn mà không cầncho một phần mềm cài đặt vĩnh viễn, trình duyệt web của máy tính có thể hoạt động nhưmáy khách, chuyển hướng người dùng đến một cổng thông tin (captive portal) để xácthực.
Khi người dùng đã truy cập vào mạng, NAC xác định người sử dụng đó là ai và cung cấpthông tin cho bước tiếp theo - đánh giá
3.1.2 Tình trạng bảo mật của máy
Trong phần này, NAC sẽ lưu ý về tình hình bảo mật của các máy đang cố gắng truy cậpvào mạng để đảm bảo rằng không vô tình cho phép máy không an toàn vào mạng Việc cho phépbất cứ thứ gì truy cập vào mạng là rất rủi ro do nguy cơ từ những phần mềm độc hại, phần mềmgián điệp, virus, khai thác từ xa (remote exploits), …, NAC cần đánh giá các rủi ro liên quan đếnviệc cho phép các thiết bị không được quản lý vào mạng và từ đó đưa ra hành động thích hợp
Giai đoạn xác định cũng liên quan đến việc xác định các yếu tố môi trường khác như vị tríhoặc thời gian truy cập
Vị trí có thể là yếu tố đóng một vai trò quan trọng khi đưa ra quyết định về việc cho phépmột người dùng truy cập vào mạng Ví dụ, chúng ta có thể cho khách truy cập chỉ trongmột số khu vực như phòng hội nghị và các khu vực công cộng Nếu một máy khách bấtngờ xuất hiện trong một khu vực bị giới hạn, NAC cung cấp khả năng từ chối truy cập
Có thể hạn chế thời gian sử dụng trong ngày hoặc các ngày trong tuần cho người dùngnhất định Ví dụ, chúng ta có thể đảm bảo rằng nhân viên hoặc người sử dụng khác truycập vào dữ liệu của công ty chỉ trong giờ làm việc Khi nhân viên đó cố gắng truy cập dữliệu nhạy cảm của công ty từ nhà và vào cuối tuần, chúng ta có thể dùng chính sách tựđộng từ chối truy cập
3.2 Bước đánh giá (evaluate)
Trong giai đoạn xác định (được thảo luận trong phần trước), NAC giúp chúng ta thu thậprất nhiều thông tin về người sử dụng, hoặc máy của họ, và các yếu tố môi trường kết hợp với cácyêu cầu truy cập Bước tiếp theo trong chu kì hoạt động của NAC là đánh giá (evaluate) Trong
Trang 25giai đoạn này, hệ thống NAC sắp xếp tất cả các mảnh thông tin thu thập được trong giai đoạn xácđịnh.
Hầu hết các triển khai NAC đều thiết lập các chính sách khác nhau cho từng nhóm ngườidùng khác nhau Trong giai đoạn này, hệ thống NAC kiểm tra hàng chục, hàng trăm thậm chíhàng ngàn phiên yêu cầu và phải xác định chính xác chính sách nào được áp dụng cho từng yêucầu đó
Ví dụ, hệ thống NAC thực hiện xác thực người dùng, nhưng đồng thời, nó cũng lấy từ thưmục của tổ chức bất kỳ thông tin bổ sung cần thiết liên quan đến người sử dụng đó Thư mục của
tổ chức có thể bao gồm thông tin thành viên nhóm, trong đó cho biết người sử dụng là một thànhviên trong nhóm nào của tổ chức, từ đó NAC tự động phân biệt các nhân viên đó là từ các nhàthầu hay các thành viên của bộ phận Tài chính hoặc bộ phận Kỹ thuật
NAC sử dụng các thông tin này để xác định chính sách nào được áp dụng đối với từngyêu cầu đã được chứng thực cụ thể, sau đó đánh giá để cung cấp các mức độ truy cập thích hợp
Ví dụ, một nhân viên dùng một máy tính xách tay được quản lý thì máy tính đó sẽ được tựđộng sửa lỗi nếu nó không có một chương trình chống virus đã được cập nhật, trong khi đó, mộtnhà thầu sử dụng máy tính của riêng của mình có thể phải ngừng việc kiểm định, vì bộ phậnCNTT của tổ chức không thể sửa lỗi máy đó
Hình 3.3: Bước đánh giá
Trang 263.3 Bước khắc phục lỗi (Remediation)
Khắc phục lỗi, thể hiện trong hình 3-4, là một bước tùy chọn trong chu trình NAC
Một số người dùng không bao giờ phải trải qua giai đoạn khắc phục lỗi nếu máy của họluôn phù hợp với các chính sách Ví dụ, nhóm quản lý máy tính có thể đã quản lý việc phân phốiphần mềm và giữ cho tất cả các máy của nhân viên luôn được sửa lỗi và cập nhật Khi đó, nếumột nhân viên truy cập mạng với máy tính đã được quản lý như vậy, NAC có thể bỏ qua bướckhắc phục lỗi, chuyển ngay đến bước thực thi
Hình 3.4: Bước khắc phục lỗi
Bước khắc phục lỗi là một phần vô cùng quan trọng trong chu kì hoạt động NAC Trongbước này, hệ thống NAC của phải khắc phục tất cả các vấn đề để người dùng được truy cập đầy
đủ bất cứ tài nguyên nào mà họ được cho phép
Bất cứ nơi nào có thể, hãy sử dụng cơ chế khắc phục lỗi tự động Bằng cách sử dụng chứcnăng này, hệ thống NAC sẽ tự động sửa chữa các vấn đề mà nó tìm thấy trong các thiết bị đầucuối Ví dụ, nếu hệ thống NAC thấy rằng chương trình chống virus đã lỗi thời, nó có thể tự khởiđộng cơ chế cập nhật mà không cần tương tác với người dùng cuối Hoặc hệ thống NAC có thểgiúp một máy tính lấy các bản vá lỗi thích hợp nếu nó không tìm thấy chúng trong hệ thống củangười dùng cuối
Cần tránh tương tác với người dùng cuối Mặc dù hầu hết các hệ thống cung cấp cơ chếhướng dẫn người sử dụng tùy chỉnh cập nhật các chương trình chống virus, nhưng bước khôngcần thiết này có thể gây ra sự chậm trễ và dẫn đến nhiều cuộc gọi trợ giúp Cần phải triển khaisao cho người sử dụng cuối cùng thậm chí không xác định được đâu là chương trình chống virus
Trang 27của doanh nghiệp, họ không thể can thiệp vào việc mở phần mềm, cập nhật nó, và việc bảo vệthời gian thực Một chỉ dẫn tốt nhất trong bất kỳ chính sách bảo mật nào là người dùng cuối cùngcàng ít can thiệp thì càng tốt.
3.4 Bước thực thi (enforce)
Sau khi thu thập tất cả các thông tin liên quan đến một yêu cầu truy cập mới, khắc phụclỗi, đánh giá xem chính sách nào phù hợp dựa trên những thông tin này thu thập được, và tìm rachính xác nguồn tài nguyên mà người sử dụng cuối cùng có thể truy cập, thì hệ thống NAC tiếptục thực thi các chính sách đó Sau khi hệ thống NAC xác định mức độ truy cập mà người dùngcuối có thể có, bước tiếp theo là thực thi, như thể hiện trong hình 3.5
Cuối cùng, máy chủ NAC phải cung cấp hướng dẫn cụ thể cho các mạng khác nhau vàcác thiết bị đầu cuối về những gì một người dùng cụ thể được phép truy cập trên mạng
Hình 3.5: Bước thực thi
Hầu hết nhà cung cấp giải pháp NAC sử dụng một trong ba điểm thực thi chính:
Thiết bị đầu cuối (endpoint): Sử dụng phần mềm NAC đã được cài đặt như một phươngtiện để thực thi chính sách và kiểm soát truy cập
Trang 28 Kiến trúc hạ tầng mạng chuyển mạch (switching infrastructure): (có dây, không dây, hoặc
cả hai) Các giải pháp này tận dụng các tiêu chuẩn 802.1X để kiểm soát truy cập, và ngăncấm hoặc cho phép người dùng kết nối vào mạng
Thiết bị Inline (Inline appliances): Đối với các thiết bị này, các thiết bị trở thành các điểm
thực thi chính sách, và tất cả việc truy cập đều thông qua các thiết bị này
Mỗi phương pháp có ưu và nhược điểm của nó Nhưng khi hệ thống NAC của công ty xácđịnh mức độ truy cập của một người sử dụng, nó sẽ thông báo cho tất cả các điểm thực thi khácnhau là người sử dụng được phép truy cập để các điểm thực thi này có thể thực hiện các chínhsách thích hợp
3.5 Bước giám sát (Monitor)
Sau khi cho phép người dùng và máy tính truy cập vào mạng, cần đảm bảo rằng họ vẫntuân thủ các chính sách
Thực hiện một giải pháp bảo mật như kiểm soát truy cập mạng sẽ không còn tác dụng nếuchỉ kiểm tra việc tuân thủ chính sách ở mỗi giai đoạn đầu Điều đó giống như việc tuần tra đườngtốc độ trên đường cao tốc mà chỉ kiểm tra đầu đường, và sau đó cho là tất cả mọi người mà vẫnduy trì giới hạn tốc độ trong suốt phần đường còn lại
Giai đoạn cuối cùng - theo dõi – đóng vai trò giúp chắc chắn rằng tất cả mọi người vẫntuân thủ các chính sách (như thể hiện trong hình 3-6)