Tìm hiểu về Network Access Control

Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sáng tỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lập những gì để đúng cho môi trường của riêng bạn.NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại...
Nội dung trích xuất từ tài liệu:
Tìm hiểu về Network Access Control Tìm hiểu về Network Access ControlMặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộnglớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sángtỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lậpnhững gì để đúng cho môi trường của riêng bạn.NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trìnhlàm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại các nhà hàng đãtriển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một sốđiều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.Đây là một trường hợp làm việc đơn giản của NAC, bởi vì nhà hàng chỉ cung cấpmột loại hình dịch vụ mạng đơn giản – đó là truy cập Internet. Mặc dù vậy, thiếtlập như thế nào đó sẽ không giống nhau trong các môi trường, ví dụ như mộtmạng của một bệnh viện chẳng hạn.Để trả lời câu hỏi làm thế nào để chọn đúng phương pháp NAC cho mạng của bạn,có hai điều kiện tiên quyết phải được thỏa mãn. Thứ nhất, bạn phải hiểu về nhữnggì NAC cung cấp có sẵn, chúng làm những gì, làm thế nào để làm được vậy vàchúng có thể tích hợp vào trong mạng như thế nào. Thứ hai, những yêu cầu cầnphải được làm sáng tỏ, sự bảo mật công ty và chính sách truy cập. Các hệ thốngNAC không tạo ra các chính sách mà chỉ ép buộc chúng. Không có các chính sáchđó, quyết định truy cập toàn bộ giữa các thành viên trở thành trách nhiệm củaphòng CNTT (vấn đề gây khó khăn rất nhiều).Tìm hiểu NACViệc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba dạngkiểm tra. Thứ nhất, như ví dụ trước về hot spot không dây, nó có thể được thỏamãn bằng cách đơn giản chỉ yêu cầu người dùng đồng ý với một chính sách sửdụng trước khi họ kết nối vào mạng. Sự nhận dạng người dùng và trạng thái máykhông có ý nghĩa đối với việc truy cập được chấp nhận hay không.Loại thứ hai đó là phê chuẩn tính hợp lệ của người dùng và thứ ba là phê chuẩntính hợp lệ trạng thái máy. Hai dạng kiểm tra hiếm khi được sử dụng cho từ chốitoàn bộ sự truy cập hoặc cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợplệ của người dùng, sẽ có nhiều mức truy cập khác nhau đối với từng người dùngkhác nhau. Đối với các quản trị viên thì được ưu tiên ở mức truy cập toàn bộ cònngười dùng khác sẽ bị giới hạn một số ứng dụng. Trạng thái máy là trạng thái củamáy tính có liên quan đến chính sách bảo mật đã được thiết lập. Nếu chính sách đónằm trong một máy tính Windows đã nâng cấp các bản vá lỗi cho hệ điều hành thìkết nối sẽ bị hạn chế cho tới khi yêu cầu bản vá được hoàn tất trong máy truy cập.Bằng việc bảo đảm các máy phải có những yêu cầu về chính sách bảo mật, nhữnghỏng hóc phá hoại do các loại sâu và virus mạng có thể giảm rõ rệt.Kết nối hạn chế mà người dùng được cho phép trước kết nối mạng hoàn chỉnhđược cho phép là một trạng thái cách ly. Trạng thái cách ly này không có nghĩa làtất cả các truy cập đều bị khóa. Chính sách bảo mật có thể cho phép một máy đã bịcách ly có thể truy cập và download các file phần mềm chống virus đã được cậpnhật. Khi lên kế hoạch cho việc triển khai một NAC, bạn cần phải hiểu nhữngphương pháp cách ly cơ bản, những hạn chế của nó và làm thế nào chúng có thểliên kết được vứi cơ sở hạ tầng mạng của bạn.Phương pháp cách lyNgay từ khi mới có mạng chia sẻ, các phương pháp cách ly thủ công đã được thihành bằng việc sử dụng danh sách điều khiển truy cập trên các router và switch.Các tham số chính sách gồm có các địa chỉ nguồn và đích, TCP và cổng giao thứcgam dữ liệu người dùng, giao thức IP và địa chỉ MAC. Về phía quan điểm kiếntrúc mạng, điều này cần phải có sự bổ sung nội tuyến. Các phương pháp NAC nộituyến tự động hóa quá trình quản lý các danh sách điều khiển truy cập.Phương pháp khác liên quan đến việc gán các mạng LAN ảo (VLAN) để cách lycác máy bị cách ly với mạng công ty. Một phương pháp tương đối đơn giản là sửdụng giao thức cấu hình host động (DHCP) để gán một client đến các mạng khácnhau. Phương pháp này không chỉ đặt máy vào lớp 3 VLAN hạn chế mà nó còncho phép cấu hình client khác như các máy chủ DNS. Ví dụ, tất cả các yêu cầuWeb page có thể giải quyết ở bên trong một máy chủ Web để hiển thị chính sáchsử dụng bằng một nút “Accept” (chấp nhận) ...