Điều khiển truy cập mạng (NETWORK ACCESS CONTROL)

Điều khiển truy cập mạng (NETWORK ACCESS CONTROL)

Rate this post

Network access control (NAC) là một thuật ngữ dùng để mô tả quyền quản lý truy cập mạng. NAC xác thực những người dùng đăng nhập vào mạng và xác thực những hành động, những dữ liệu mà người dùng truy cập. NAC cũng kiểm tra tình trạng của máy tính và thiết bị di động (end user).

Các thành phần của NAC

Các thành phần của một network access control system (hệ thống điều khiển truy cập mạng) NAC gồm 3 thành phần:

  • Access requestor (AR): AR là người dùng truy cập vào mạng và có thể dùng những thiết bị được hệ thống NAC quản lý để truy cập. Bao gồm máy chủ, máy trạm, máy in, máy ảnh và các thiết bị hỗ trợ IP khác, AR còn có thể hiểu đơn giản là khách hàng.
  • Policy server (Chính sách máy chủ): dựa vào AR mà các doanh nghiệp có thể đưa ra chính sách để áp dụng cho hệ thống. Chính sách này sẽ xác định quyền truy cập nào được cho phép. Chính sách máy chủ thường dựa vào các hệ thống hỗ trợ, bao gồm antivirus, quản lý bản vá hoặc thư mục người dùng, để giúp xác định điều kiện máy chủ.
  • Network access server (NAS): NAS là một điểm kiểm soát truy cập cho người dùng kết nối từ xa vs mạng nội bộ của doanh nghiệp. NAS còn được hiểu là media gateway, máy chủ truy cập từ xa (RAS) hoặc policy server. NAS có thể bao gồm các dịch vụ xác thực của riêng mình hoặc dựa vào một dịch vụ xác thực riêng từ policy server.
Điều khiển truy cập mạng (NETWORK ACCESS CONTROL)

Hình trên là một sơ đồ truy cập mạng chung. Một loạt các AR khác nhau truy cập vào mạng doanh nghiệp thông qua NAS. Bước đầu tiên là để xác thực AR. Xác thực thường sử dụng một số loại giao thức bảo mật và các khóa mật mã. Xác thực có thể được thực hiện bởi NAS hoặc NAS có thể làm trung gian cho quá trình xác thực. Trong trường hợp bên trên, quá trình xác thực được diễn ra giữa AR và authentication server là một phần trong chính sách của policy server.

Các bài viết liên quan:

Quá trình xác thực phục vụ một số mục đích. Nó xác minh danh tính của AR, các policy server xác định quyền truy cập nào phù hợp, các đặc quyền mà AR có thể có. Sau khi xác thực là quá trình trao đổi và thiết lập session key để tạo ra kênh giao tiếp an toàn trong tương lai giữa AR và tài nguyên bên trong mạng doanh nghiệp.

Thông thường, policy server hoặc backend server sẽ thực hiện kiểm tra trên AR để xác định xem có nên cho phép kết nối truy cập từ xa tương tác hay không. Các kiểm tra này đôi khi được gọi là kiểm tra tình trạng, sự phù hợp, kiểm tra yêu cầu của phiên bản phần mềm trên hệ thống người dùng để xác minh sự tuân thủ với các yêu cầu bảo mật của hệ thống. Ví dụ, phần mềm chống virus của người dùng phải được cập nhật, hệ điều hành phải cập nhập bản vá đầy đủ máy tính từ xa phải được quản lý và kiểm soát bởi hệ thống. Các kiểm tra này phải được thực hiện trước khi cấp quyền truy cập cho AR vào mạng doanh nghiệp. 

Dựa trên kết quả kiểm tra, hệ thống có thể xác định liệu máy tính từ xa có được phép truy cập và kết nối từ xa hay không. Nếu người dùng được xác thực nhưng máy tính truy cập không đảm bảo được yêu cầu bảo mật của hệ thống, người dùng và máy tính từ xa sẽ bị từ chối truy cập mạng hoặc có quyền truy cập hạn chế hoặc phải vào khu vực quarantine network đợi khắc phục các thiếu sót về bảo mật. 

Khu vực quarantine network của mạng doanh nghiệp bao policy server và các máy kiểm tra bảo mật của AR.

Khi một AR đã được xác nhận an toàn thì sẽ được cấp quyền truy cập nhất định vào mạng doanh nghiệp. NAS có thể cho phép AR tương tác với các tài nguyên trong mạng doanh nghiệp. NAS có thể làm trung gian cho mọi trao đổi để thực thi chính sách bảo mật cho AR này hoặc có thể sử dụng các phương pháp khác để hạn chế các đặc quyền của AR.

Các phương thức kết nối mạng

Các phương thức kết nối mạng là các giao thức kết nối cung cấp cho AR để điều chỉnh việc truy cập mạng doanh nghiệp. Nhiều nhà cung cấp hỗ trợ nhiều phương thức kết nối đồng thời, cho phép khách hàng sử dụng một hoặc kết hợp các phương thức kết nối. Sau đây là các phương pháp thực thi NAC phổ biến.

  • IEEE 802.1X: Đây là giao thức tầng link thực hiện xác thực và ủy quyền trước khi một port được gán một địa chỉ IP. IEEE 802.1X sử dụng giao thức xác thực mở rộng(EAP) cho quy trình xác thực. Các phần tiếp theo lần lượt bao gồm Giao thức xác thực mở rộng(EAP) và IEEE 802.1X.
  • Virtual local area network (VLANS): Theo cách tiếp cận này, mạng doanh nghiệp, bao gồm một mạng LAN được kết nối với nhau. Được thành phân đoạn thành 1 số mạng LAN ảo  một cách hợp lý. 1 Hệ thống NAC quyết định VLANs nào của mạng sẽ cho phép AR kết nối vào, dựa trên việc thiết bị có bảo mật hay không, chỉ được truy cập Internet hoặc có được phép truy cập vào tài nguyên doanh nghiệp. VLANs có thể được tạo tự động, mỗi AR hoặc máy chủ có thể có nhiều hơn một 
  • Firewall (tường lửa): Tường lửa cung cấp một dạng NAC bằng cách cho phép hoặc từ chối lưu lượng mạng giữa máy chủ doanh nghiệp và người dùng bên ngoài. Tường lửa được nói thêm trong phần sau.
  • DHCP management: Giao thức cấu hình tự động giao thức Internet cho phép phân bổ động các địa chỉ IP cho client. Một máy chủ DHCP nhận các yêu cầu DHCP và cung cấp lại địa chỉ IP. Do đó, việc thực thi NAC xảy ra ở lớp IP dựa trên việc gán subnet và IP. Một máy chủ DCHP rất dễ cài đặt và cấu hình, nhưng phải gặp phải nhiều IP giả mạo khác nhau, cung cấp bảo mật hạn chế.

Có một số phương pháp thực thi khác có sẵn từ các nhà cung cấp. Nhưng những phương pháp trên là phổ biến và thường gặp nhất. Cho đến nay, IEEE 802.1X là giải pháp được thực hiện phổ biến nhất.

Leave a Reply