Tweet
Network Access Control (NAC) và 802.1X
Trong bối cảnh số lượng thiết bị di động truy cập mạng tăng theo cấp số nhân cùng với các rủi ro bảo mật đi kèm, các tổ chức cần những công cụ cung cấp:
để tăng cường hạ tầng bảo mật mạng.
Network Access Control (NAC)
NAC là công nghệ bảo mật mạng dùng để kiểm soát và thực thi quyền truy cập dựa trên các chính sách định nghĩa sẵn. Mục tiêu chính của NAC
Cơ chế hoạt động
Khi một thiết bị cố gắng kết nối vào mạng:
Điều này giúp ngăn chặn thiết bị không an toàn lây nhiễm toàn bộ hệ thống mạng.
Các khả năng chính của NAC
1️⃣ Quản lý vòng đời chính sách
Thực thi chính sách trong mọi tình huống mà không cần module bổ sung. 2️⃣ Profiling & Visibility
Nhận diện và phân loại người dùng và thiết bị trước khi mã độc gây hại. 3️⃣ Guest Networking
Quản lý khách truy cập qua cổng tự phục vụ:
Đánh giá mức độ tuân thủ theo:
Tự động:
Tích hợp với hệ thống khác thông qua RESTful API.
802.1X – Chuẩn NAC của IEEE
802.1X là tiêu chuẩn IEEE cung cấp framework xác thực để kiểm soát truy cập vào:
Đây là cơ chế bảo mật quan trọng đảm bảo chỉ thiết bị và người dùng được ủy quyền mới có thể truy cập tài nguyên mạng.
Thành phần chính của 802.1X
1️⃣ Supplicant
Thiết bị yêu cầu truy cập mạng (ví dụ: laptop, điện thoại).
👉 Supplicant là bên khởi tạo quá trình xác thực. 2️⃣ Authenticator
Thiết bị mạng trung gian (switch hoặc access point).
Hoạt động như cầu nối giữa supplicant và authentication server. 3️⃣ Authentication Server
Thường là RADIUS server.
Xác thực bằng:
Quy trình xác thực 802.1X
Nếu xác thực thành công → thiết bị được truy cập mạng
Nếu thất bại → bị từ chối truy cập
❓ Câu hỏi ôn tập
Thành phần nào khởi tạo quá trình xác thực trong IEEE 802.1X?
✅ Đáp án đúng: supplicant
Trong bối cảnh số lượng thiết bị di động truy cập mạng tăng theo cấp số nhân cùng với các rủi ro bảo mật đi kèm, các tổ chức cần những công cụ cung cấp:
- Khả năng hiển thị (Visibility)
- Kiểm soát truy cập (Access Control)
- Kiểm tra tuân thủ (Compliance)
để tăng cường hạ tầng bảo mật mạng.
Network Access Control (NAC)
NAC là công nghệ bảo mật mạng dùng để kiểm soát và thực thi quyền truy cập dựa trên các chính sách định nghĩa sẵn. Mục tiêu chính của NAC
- Chỉ cho phép thiết bị được ủy quyền và tuân thủ chính sách bảo mật truy cập mạng
- Chặn hoặc giới hạn truy cập của thiết bị không hợp lệ hoặc không tuân thủ
Cơ chế hoạt động
Khi một thiết bị cố gắng kết nối vào mạng:
- Hệ thống NAC kiểm tra danh tính (Identity)
- Kiểm tra mức độ tuân thủ chính sách bảo mật
- Quyết định:
- Cho phép truy cập
- Đưa vào vùng cách ly (Quarantine)
- Hoặc cấp quyền truy cập hạn chế
Điều này giúp ngăn chặn thiết bị không an toàn lây nhiễm toàn bộ hệ thống mạng.
Các khả năng chính của NAC
1️⃣ Quản lý vòng đời chính sách
Thực thi chính sách trong mọi tình huống mà không cần module bổ sung. 2️⃣ Profiling & Visibility
Nhận diện và phân loại người dùng và thiết bị trước khi mã độc gây hại. 3️⃣ Guest Networking
Quản lý khách truy cập qua cổng tự phục vụ:
- Đăng ký
- Xác thực
- Bảo lãnh
- Quản lý khách
Đánh giá mức độ tuân thủ theo:
- Loại người dùng
- Loại thiết bị
- Hệ điều hành
Tự động:
- Chặn
- Cách ly
- Sửa lỗi thiết bị không tuân thủ
Tích hợp với hệ thống khác thông qua RESTful API.
802.1X – Chuẩn NAC của IEEE
802.1X là tiêu chuẩn IEEE cung cấp framework xác thực để kiểm soát truy cập vào:
- LAN (mạng dây)
- WLAN (mạng không dây)
Đây là cơ chế bảo mật quan trọng đảm bảo chỉ thiết bị và người dùng được ủy quyền mới có thể truy cập tài nguyên mạng.
Thành phần chính của 802.1X
1️⃣ Supplicant
Thiết bị yêu cầu truy cập mạng (ví dụ: laptop, điện thoại).
👉 Supplicant là bên khởi tạo quá trình xác thực. 2️⃣ Authenticator
Thiết bị mạng trung gian (switch hoặc access point).
Hoạt động như cầu nối giữa supplicant và authentication server. 3️⃣ Authentication Server
Thường là RADIUS server.
Xác thực bằng:
- Username/password
- Certificate số
- Các phương thức EAP khác
Quy trình xác thực 802.1X
- Thiết bị kết nối vào cổng mạng
- Authenticator chặn toàn bộ traffic
- Supplicant gửi EAPOL Start
- Authenticator gửi EAP Request
- Supplicant gửi EAP Response (Identity)
- Authenticator chuyển thông tin đến RADIUS server
- Server gửi:
- Access Accept → mở cổng
- Access Reject → giữ cổng đóng
Nếu xác thực thành công → thiết bị được truy cập mạng
Nếu thất bại → bị từ chối truy cập
❓ Câu hỏi ôn tập
Thành phần nào khởi tạo quá trình xác thực trong IEEE 802.1X?
✅ Đáp án đúng: supplicant
Attached Files