Network Access Control คืออะไร
Network Access Control หรือเรียกสั้นๆ ว่า NAC เป็นวิธีการหนึ่งทางด้านความปลอดภัยเครือข่ายคอมพิวเตอร์ที่ใช้เพื่อรวมเอาเทคโนโลยีทางด้านความปลอดภัย (เช่น แอนตี้ไวรัส host intrusion prevention และ vulnerability assessment) ผู้ใช้หรือระบบพิสูจน์ตัว และการบังคับใช้การรักษาความปลอดภัยทางเครือข่ายเข้าด้วยกัน
ความเป็นมา : Network Access Control เป็นความคิดทางด้านเครือข่ายคอมพิวเตอร์และกลุ่มของโปรโตคอลที่ใช้เพื่ออธิบายวิธีรักษาความปลอดภัยของเครื่องหนึ่งในเครือข่ายก่อนที่เครื่องนั้นจะเข้าถึงเครือข่าย NAC ยังมีกระบวนการแก้ไขแบบอัตโนมัติ (แก้ไขเครื่องที่ไม่ทำตามข้อกำหนดก่อนที่จะอนุญาตให้เข้าถึงได้) สำหรับระบบต่าง ๆ ในเครือข่าย ช่วยให้ระบบพื้นฐานของเครือข่าย เช่น เราเตอร์ สวิทช์ และไฟร์วอลล์ทำงานด้วยกันกับเซิร์ฟเวอร์ที่เป็นระบบ back office และอุปกรณ์คอมพิวเตอร์ของผู้ใช้ได้ เพื่อให้มั่นใจได้ว่าระบบสารสนเทศทำงานอย่างปลอดภัยก่อนที่จะอนุญาตให้สามารถทำงานร่วมกันได้
Network Access Control (NAC) มีเป้าหมายตามชื่อของมันคือ ควบคุมการเข้าถึงเครือข่ายหนึ่งโดยใช้นโยบาย รวมถึงการตรวจสอบ pre-admission และ post-admission ควบคุมส่วนที่ผู้ใช้และอุปกรณ์ต่าง ๆ สามารถเข้าถึงและสิ่งที่พวกมันสามารถทำได้ในเครือข่าย
เป้าหมายของ Network Access Control บรรเทาความเสียหายจากการโจมตี zero-day
ประโยชน์หลักของ NAC คือความสามารถในการป้องกันระบบของผู้ใช้ที่ไม่มีซอฟท์แวร์แอนตี้ไวรัส ซอฟท์แวร์อัพเดท หรือ intrusion preventionไม่ให้สามารถเข้าถึงเครือข่ายและทำให้คอมพิวเตอร์เครื่องอื่น ๆ ได้รับความเสี่ยงจากการแพร่กระจายเวิร์มได้
การบังคับใช้นโยบาย
NAC ช่วยให้ผู้ดูแลเครือข่ายสามารถกำหนดนโยบายต่าง ๆ เช่น ชนิดของคอมพิวเตอร์หรือบทบาทของผู้ใช้ที่ยอมให้เข้าถึงส่วนต่าง ๆ ของเครือข่ายและบังคับใช้ในสวิทช์ เราเตอร์ ไฟร์วอลล์ และ NAT
ระบุและจัดการการเข้าถึง
เครือข่ายไอพีโดยทั่วไปจะบังคับใช้นโยบายการเข้าถึงในรูปแบบของ IP address ส่วนเครือข่ายที่ใช้ NAC จะอาศัยการพิสูจน์ตัวผู้ใช้ อย่างน้อยสำหรับระบบของผู้ใช้ปลายทาง เช่น คอมพิวเตอร์แลปท้อปและเครื่องตั้งโต๊ะ
หลักการทำงาน
pre-admission และ post-admission
มีการปรัชญาในการออกแบบ NAC ที่ใช้กันอยู่ทั่วไปสองแบบ ขึ้นอยู่กับว่าจะมีการใช้นโยบายก่อนหรือหลังจากที่เครื่องสามารถเข้าถึงเครือข่ายได้ ในกรณีแรกเรียกว่า pre-admission NAC เครื่องในเครือข่ายจะได้รับการตรวจสอบก่อนที่จะได้รับอนุญาตให้เข้าถึงเครือข่ายได้ NAC แบบ pre-admission ส่วนใหญ่ใช้เพื่อป้องกันไคลเอนท์ที่ไม่ได้อัพเดท signature ของไวรัสไม่ให้สามารถติดต่อกับเซิร์ฟเวอร์ที่มีข้อมูลความลับ ส่วน NAC แบบ post-admission ใช้การบังคับโดยตัดสินใจจากการกระทำของผู้ใช้งาน หลังจากที่ผู้ใช้เหล่านี้สามารถเข้าถึงเครือข่ายได้แล้ว
agent และ agentless
ความคิดพื้นฐานเบื้องหลังการทำงาน NAC คือการยอมให้เครือข่ายนั้นสามารถตัดสินใจเกี่ยวกับการควบคุมการเข้าถึงตามข้อมูลข่าวสารเกี่ยวกับระบบของผู้ใช้ ดังนั้นข้อมูลเกี่ยวกับระบบของผู้ใช้เป็นการตัดสินใจที่สำคัญ ความแตกต่างระหว่างระบบ NAC หลัก ๆ คือพวกมันจำเป็นต้องใช้ซอฟท์แวร์ agent เพื่อรายงานลักษณะของระบบปลายทาง หรือใช้เทคนิคการสแกน network inventory เพื่อให้รู้ถึงลักษณะเหล่านี้จากระยะไกล
out-of-band หรือ inline
ในระบบ out-of-band จะมีการใช้ agent กับระบบปลายทางและรายงานข้อมูลข่าวสารมายังระบบควบคุมส่วนกลาง เพื่อให้สามารถควบคุมสวิทช์ให้บังคับใช้นโยบายได้ ตรงข้ามกับ inline ที่ใช้เครื่องเดียวที่ทำหน้าที่เป็นไฟร์วอลล์สำหรับเครือข่ายในระดับ access layer และบังคับใช้นโยบาย ระบบ out-of-band อาศัยระบบพื้นฐานที่มีอยู่แล้ว ส่วนผลิตภัณฑ์แบบ inline ง่ายในการติดตั้งกับเครือข่ายใหม่ และอาจมีความสามารถในการบังคับใช้ทางเครือข่ายในขั้นสูงกว่า เพราะมันควบคุม packet ต่าง ๆ โดยตรง อย่างไรก็ตามมีผลิตภัณฑ์ที่เป็นแบบ agentless ใช้งานง่าย แบบ out-of-band ที่มีความเสี่ยงน้อย แต่ใช้เทคนิคแบบ inline กับอุปกรณ์ที่ไม่สนับสนุน ซึ่งจำเป็นต้องมีการบังคับใช้นโยบาย
การแก้ไข กักกัน และ captive portals
ผู้ดูแลเครือข่ายติดตั้งผลิตภัณฑ์ NAC ด้วยความคาดหวังว่าอาจจะมีไคลเอนท์ที่มีสิทธิ์ถูกต้องที่ถูกปฏิเสธไม่ให้เข้าถึงเครือข่ายได้ (ถ้าผู้ใช้ไม่เคยมีซอฟท์แวร์เก่าที่ไม่ได้อัพเดทเลย NAC ก็ไม่มีความจำเป็นใด ๆ) เพราะฉะนั้น NAC จำเป็นต้องมีกลไกสำหรับการแก้ไขปัญหาของผู้ใช้ปลายทางที่ทำให้พวกเขาไม่สามารถเข้าถึงเครือข่ายได้
กลยุทธ์ที่ใช้ในการแก้ไขสองวิธีที่ใช้อยู่ทั่วไปคือการใช้เครือข่ายสำหรับการกักกันและ captive portals
การกักกัน (quarantine) เครือข่ายกักกันเป็นเครือข่ายไอพีแบบจำกัดวง ที่ยอมให้ผู้ใช้สามารถเข้าถึงโฮสต์และแอพพลิเคชั่นบางตัวเท่านั้น การกักกันมักใช้ในรูปแบบของการกำหนด VLAN เมื่อผลิตภัณฑ์ NAC พบว่ามีเครื่องของผู้ใช้ปลายทางที่ไม่มีการอัพเดทซอฟท์แวร์ จะมีการกำหนดพอร์ทของสวิทช์ไปยัง VLAN ที่มีเส้นทางไปยังเซิร์ฟเวอร์สำหรับการอัพเดทซอฟท์แวร์เท่านั้น โดยไม่สามารถไปยังส่วนที่เหลือของเครือข่ายได้ วิธีการอื่น ๆ เช่นการใช้เทคนิค Address Management (เช่น Address Resolution Protocol (ARP) หรือ Neighbor Discovery Protocol (NDP)) สำหรับการกักกัน เพื่อป้องกันปัญหาการจัดการกับ VLAN ที่มีการกักกันมากเกินไป
captive portals จะสกัดการเข้าถึงหน้าเวบและเปลี่ยนเส้นทางของผู้ใช้ไปยังเวบแอพพลิเคชั่นที่ให้คำแนะนำและเครื่องมือที่ใช้ในการอัพเดทคอมพิวเตอร์ ผู้ใช้ที่ไม่ผ่านการตรวจสอบแบบอัตโนมัติจะไม่สามารถใช้งานเครือข่ายอื่น ๆ ได้นอกจาก captive portal คล้ายกับวิธีที่ใช้สำหรับเครือข่ายไร้สายที่ต้องเสียค่าบริการตามสถานที่สาธารณะ
แหล่งอ้างอิง : http://www.sran.net/archives/107
ไม่มีความคิดเห็น:
แสดงความคิดเห็น