Tweet
NAC (Network Access Control) là gì?
Khi nhìn vào hình trên, chúng ta thấy số lượng endpoint trong mạng doanh nghiệp ngày càng đa dạng: laptop, smartphone, camera IP, máy in, điện thoại IP, thiết bị IoT, cảm biến, máy tính cá nhân (BYOD)... Trong số đó có thể xuất hiện:
Câu hỏi đặt ra là:
Đó chính là vai trò của NAC (Network Access Control).
NAC là gì?
Network Access Control (NAC) là hệ thống kiểm soát việc truy cập vào mạng dựa trên:
Nói đơn giản:
Trước khi cho phép một thiết bị vào mạng, NAC sẽ trả lời ba câu hỏi: Ai đang kết nối?
John
Nhân viên IT
Khách
Nhà thầu
Camera
Printer
IoT Device Thiết bị gì đang kết nối?
Laptop công ty
Laptop cá nhân
iPhone
Android
Camera IP
Printer
IP Phone Thiết bị có đủ an toàn không?
Có Antivirus?
Có bật Firewall?
Đã cập nhật Patch?
Có Jailbreak?
Có Root?
Nếu không đạt yêu cầu, NAC có thể từ chối hoặc hạn chế truy cập.
Hãy tưởng tượng NAC giống như bảo vệ tòa nhà
Một người muốn vào tòa nhà:
Bảo vệ sẽ kiểm tra:
Mạng doanh nghiệp cũng hoạt động tương tự.
Trước:
Cắm dây mạng
↓
Có IP
↓
Được truy cập
Sau khi triển khai NAC:
Cắm dây mạng
↓
Xác thực
↓
Kiểm tra thiết bị
↓
Áp chính sách
↓
Mới được truy cập
NAC hoạt động như thế nào?
Một quy trình NAC điển hình:
Endpoint
↓
Switch/AP
↓
NAC Server
↓
Authentication
↓
Authorization
↓
Policy Enforcement
Ví dụ:
Laptop cắm vào switch:
Laptop
↓
Catalyst Switch
↓
Cisco ISE
Switch hỏi ISE:
ISE trả lời:
User = Minh
Department = Finance
Device = Corporate Laptop
Posture = Healthy
Switch sẽ cấp:
VLAN 100
SGT Finance
dACL Finance
Người dùng mới được truy cập.
Các thành phần của NAC
Supplicant
Thiết bị đầu cuối:
Windows
macOS
iPhone
Android
Printer
Camera
Authenticator
Thiết bị mạng trung gian:
Switch
Wireless AP
Wireless Controller
VPN Gateway
Authentication Server
Máy chủ NAC:
Cisco ISE
Aruba ClearPass
FortiNAC
Microsoft NPS
Trong doanh nghiệp lớn hiện nay, Cisco ISE là giải pháp rất phổ biến.
Các giao thức NAC thường sử dụng
802.1X
Là giao thức xác thực truy cập mạng phổ biến nhất.
Quá trình:
PC
↓
Switch
↓
RADIUS
↓
AD/LDAP
Nếu xác thực thành công:
Permit
Nếu thất bại:
Deny
MAB (MAC Authentication Bypass)
Một số thiết bị không hỗ trợ 802.1X:
Khi đó switch sử dụng:
MAC Address
để xác thực.
Ví dụ:
AA:BB:CC:11:22:33
Nếu MAC tồn tại trong database:
Permit
Ngược lại:
Deny
NAC không chỉ xác thực mà còn phân quyền
Ví dụ: Nhân viên IT
Full Access Nhân viên Kế toán
Finance Server Only Khách (Guest)
Internet Only Camera
Only NVR Server Thiết bị nhiễm malware
Quarantine VLAN
Đây chính là nền tảng của Zero Trust Network.
Posture Assessment là gì?
NAC còn có thể kiểm tra sức khỏe thiết bị.
Ví dụ:
Windows Update?
Antivirus?
Firewall?
Disk Encryption?
EDR?
Nếu không đạt:
Access = Deny
hoặc:
Access = Limited
Ví dụ:
Laptop:
No Antivirus
No Patch
ISE có thể đưa vào:
Remediation VLAN
chỉ cho phép tải bản vá.
Dynamic Policy
Điểm mạnh nhất của NAC là chính sách có thể thay đổi động.
Ví dụ:
John đăng nhập:
Laptop công ty
↓
VLAN 100
John chuyển sang Guest Wi-Fi:
Internet Only
John dùng máy tính cá nhân:
Restricted Access
Chính sách thay đổi theo:
Ví dụ trong Cisco ISE
Một camera IP kết nối:
Camera
↓
Switch
↓
ISE
↓
Profiling
↓
Device = Camera
↓
SGT = CCTV
↓
ACL = Only NVR
Nếu malware xâm nhập camera:
ISE
↓
Quarantine
↓
CoA (Change of Authorization)
↓
ACL Block
Mà không cần rút dây mạng.
NAC và Zero Trust
Ngày xưa:
Inside = Trusted
Outside = Untrusted
Ngày nay:
Never Trust
Always Verify
Mỗi thiết bị phải:
NAC chính là thành phần thực thi nguyên tắc này.
Tóm tắt
Có thể hiểu NAC theo một câu rất đơn giản:
NAC giúp mạng trả lời ba câu hỏi quan trọng:
Ai đang kết nối?
Thiết bị gì đang kết nối?
Thiết bị đó được phép làm gì?
Và dựa trên câu trả lời, NAC sẽ:
Permit
Restrict
Quarantine
Deny
Đây là lý do vì sao trong các kiến trúc hiện đại như Cisco ISE, SD-Access, Zero Trust và SASE, NAC được xem là lớp bảo mật đầu tiên bảo vệ mạng doanh nghiệp trước sự bùng nổ của PC, BYOD và hàng tỷ thiết bị IoT.
Khi nhìn vào hình trên, chúng ta thấy số lượng endpoint trong mạng doanh nghiệp ngày càng đa dạng: laptop, smartphone, camera IP, máy in, điện thoại IP, thiết bị IoT, cảm biến, máy tính cá nhân (BYOD)... Trong số đó có thể xuất hiện:
- Thiết bị không được công ty quản lý
- Thiết bị đã nhiễm malware
- Thiết bị không cập nhật bản vá
- Người dùng trái phép cắm vào cổng mạng
Câu hỏi đặt ra là:
Làm thế nào để mạng biết "ai" đang kết nối và quyết định có cho phép họ truy cập hay không?
Đó chính là vai trò của NAC (Network Access Control).
NAC là gì?
Network Access Control (NAC) là hệ thống kiểm soát việc truy cập vào mạng dựa trên:
- Danh tính người dùng (Identity)
- Loại thiết bị (Device Type)
- Tình trạng bảo mật của thiết bị (Security Posture)
- Chính sách của doanh nghiệp (Policy)
Nói đơn giản:
NAC là "người bảo vệ cổng" của mạng doanh nghiệp.
Trước khi cho phép một thiết bị vào mạng, NAC sẽ trả lời ba câu hỏi: Ai đang kết nối?
John
Nhân viên IT
Khách
Nhà thầu
Camera
Printer
IoT Device Thiết bị gì đang kết nối?
Laptop công ty
Laptop cá nhân
iPhone
Android
Camera IP
Printer
IP Phone Thiết bị có đủ an toàn không?
Có Antivirus?
Có bật Firewall?
Đã cập nhật Patch?
Có Jailbreak?
Có Root?
Nếu không đạt yêu cầu, NAC có thể từ chối hoặc hạn chế truy cập.
Hãy tưởng tượng NAC giống như bảo vệ tòa nhà
Một người muốn vào tòa nhà:
Bảo vệ sẽ kiểm tra:
- Bạn là ai?
- Có thẻ nhân viên không?
- Thuộc phòng ban nào?
- Có quyền vào khu vực này không?
Mạng doanh nghiệp cũng hoạt động tương tự.
Trước:
Cắm dây mạng
↓
Có IP
↓
Được truy cập
Sau khi triển khai NAC:
Cắm dây mạng
↓
Xác thực
↓
Kiểm tra thiết bị
↓
Áp chính sách
↓
Mới được truy cập
NAC hoạt động như thế nào?
Một quy trình NAC điển hình:
Endpoint
↓
Switch/AP
↓
NAC Server
↓
Authentication
↓
Authorization
↓
Policy Enforcement
Ví dụ:
Laptop cắm vào switch:
Laptop
↓
Catalyst Switch
↓
Cisco ISE
Switch hỏi ISE:
Thiết bị này là ai?
ISE trả lời:
User = Minh
Department = Finance
Device = Corporate Laptop
Posture = Healthy
Switch sẽ cấp:
VLAN 100
SGT Finance
dACL Finance
Người dùng mới được truy cập.
Các thành phần của NAC
Supplicant
Thiết bị đầu cuối:
Windows
macOS
iPhone
Android
Printer
Camera
Authenticator
Thiết bị mạng trung gian:
Switch
Wireless AP
Wireless Controller
VPN Gateway
Authentication Server
Máy chủ NAC:
Cisco ISE
Aruba ClearPass
FortiNAC
Microsoft NPS
Trong doanh nghiệp lớn hiện nay, Cisco ISE là giải pháp rất phổ biến.
Các giao thức NAC thường sử dụng
802.1X
Là giao thức xác thực truy cập mạng phổ biến nhất.
Quá trình:
PC
↓
Switch
↓
RADIUS
↓
AD/LDAP
Nếu xác thực thành công:
Permit
Nếu thất bại:
Deny
MAB (MAC Authentication Bypass)
Một số thiết bị không hỗ trợ 802.1X:
- Camera
- Printer
- IP Phone
- IoT
Khi đó switch sử dụng:
MAC Address
để xác thực.
Ví dụ:
AA:BB:CC:11:22:33
Nếu MAC tồn tại trong database:
Permit
Ngược lại:
Deny
NAC không chỉ xác thực mà còn phân quyền
Ví dụ: Nhân viên IT
Full Access Nhân viên Kế toán
Finance Server Only Khách (Guest)
Internet Only Camera
Only NVR Server Thiết bị nhiễm malware
Quarantine VLAN
Đây chính là nền tảng của Zero Trust Network.
Posture Assessment là gì?
NAC còn có thể kiểm tra sức khỏe thiết bị.
Ví dụ:
Windows Update?
Antivirus?
Firewall?
Disk Encryption?
EDR?
Nếu không đạt:
Access = Deny
hoặc:
Access = Limited
Ví dụ:
Laptop:
No Antivirus
No Patch
ISE có thể đưa vào:
Remediation VLAN
chỉ cho phép tải bản vá.
Dynamic Policy
Điểm mạnh nhất của NAC là chính sách có thể thay đổi động.
Ví dụ:
John đăng nhập:
Laptop công ty
↓
VLAN 100
John chuyển sang Guest Wi-Fi:
Internet Only
John dùng máy tính cá nhân:
Restricted Access
Chính sách thay đổi theo:
- User
- Device
- Location
- Time
- Security Posture
Ví dụ trong Cisco ISE
Một camera IP kết nối:
Camera
↓
Switch
↓
ISE
↓
Profiling
↓
Device = Camera
↓
SGT = CCTV
↓
ACL = Only NVR
Nếu malware xâm nhập camera:
ISE
↓
Quarantine
↓
CoA (Change of Authorization)
↓
ACL Block
Mà không cần rút dây mạng.
NAC và Zero Trust
Ngày xưa:
Inside = Trusted
Outside = Untrusted
Ngày nay:
Never Trust
Always Verify
Mỗi thiết bị phải:
- Xác thực danh tính
- Kiểm tra trạng thái bảo mật
- Chỉ được cấp quyền tối thiểu cần thiết
NAC chính là thành phần thực thi nguyên tắc này.
Tóm tắt
Có thể hiểu NAC theo một câu rất đơn giản:
Switch và AP không còn chỉ làm nhiệm vụ chuyển tiếp gói tin, mà còn trở thành "nhân viên an ninh" của doanh nghiệp.
NAC giúp mạng trả lời ba câu hỏi quan trọng:
Ai đang kết nối?
Thiết bị gì đang kết nối?
Thiết bị đó được phép làm gì?
Và dựa trên câu trả lời, NAC sẽ:
Permit
Restrict
Quarantine
Deny
Đây là lý do vì sao trong các kiến trúc hiện đại như Cisco ISE, SD-Access, Zero Trust và SASE, NAC được xem là lớp bảo mật đầu tiên bảo vệ mạng doanh nghiệp trước sự bùng nổ của PC, BYOD và hàng tỷ thiết bị IoT.
Attached Files