Tìm hiểu về Network Access Control

Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access Control – NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.

Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sáng tỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lập những gì để đúng cho môi trường của riêng bạn.

NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại các nhà hàng đã triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng.

Đây là một trường hợp làm việc đơn giản của NAC, bởi vì nhà hàng chỉ cung cấp một loại hình dịch vụ mạng đơn giản – đó là truy cập Internet. Mặc dù vậy, thiết lập như thế nào đó sẽ không giống nhau trong các môi trường, ví dụ như một mạng của một bệnh viện chẳng hạn.

Để trả lời câu hỏi làm thế nào để chọn đúng phương pháp NAC cho mạng của bạn, có hai điều kiện tiên quyết phải được thỏa mãn. Thứ nhất, bạn phải hiểu về những gì NAC cung cấp có sẵn, chúng làm những gì, làm thế nào để làm được vậy và chúng có thể tích hợp vào trong mạng như thế nào. Thứ hai, những yêu cầu cần phải được làm sáng tỏ, sự bảo mật công ty và chính sách truy cập. Các hệ thống NAC không tạo ra các chính sách mà chỉ ép buộc chúng. Không có các chính sách đó, quyết định truy cập toàn bộ giữa các thành viên trở thành trách nhiệm của phòng CNTT (vấn đề gây khó khăn rất nhiều).

Tìm hiểu NAC

Nguồn: Forescout

Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba dạng kiểm tra. Thứ nhất, như ví dụ trước về hot spot không dây, nó có thể được thỏa mãn bằng cách đơn giản chỉ yêu cầu người dùng đồng ý với một chính sách sử dụng trước khi họ kết nối vào mạng. Sự nhận dạng người dùng và trạng thái máy không có ý nghĩa đối với việc truy cập được chấp nhận hay không.

Loại thứ hai đó là phê chuẩn tính hợp lệ của người dùng và thứ ba là phê chuẩn tính hợp lệ trạng thái máy. Hai dạng kiểm tra hiếm khi được sử dụng cho từ chối toàn bộ sự truy cập hoặc cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp lệ của người dùng, sẽ có nhiều mức truy cập khác nhau đối với từng người dùng khác nhau. Đối với các quản trị viên thì được ưu tiên ở mức truy cập toàn bộ còn người dùng khác sẽ bị giới hạn một số ứng dụng. Trạng thái máy là trạng thái của máy tính có liên quan đến chính sách bảo mật đã được thiết lập. Nếu chính sách đó nằm trong một máy tính Windows đã nâng cấp các bản vá lỗi cho hệ điều hành thì kết nối sẽ bị hạn chế cho tới khi yêu cầu bản vá được hoàn tất trong máy truy cập. Bằng việc bảo đảm các máy phải có những yêu cầu về chính sách bảo mật, những hỏng hóc phá hoại do các loại sâu và virus mạng có thể giảm rõ rệt.

Kết nối hạn chế mà người dùng được cho phép trước kết nối mạng hoàn chỉnh được cho phép là một trạng thái cách ly. Trạng thái cách ly này không có nghĩa là tất cả các truy cập đều bị khóa. Chính sách bảo mật có thể cho phép một máy đã bị cách ly có thể truy cập và download các file phần mềm chống virus đã được cập nhật. Khi lên kế hoạch cho việc triển khai một NAC, bạn cần phải hiểu những phương pháp cách ly cơ bản, những hạn chế của nó và làm thế nào chúng có thể liên kết được vứi cơ sở hạ tầng mạng của bạn.

Phương pháp cách ly

Ngay từ khi mới có mạng chia sẻ, các phương pháp cách ly thủ công đã được thi hành bằng việc sử dụng danh sách điều khiển truy cập trên các router và switch. Các tham số chính sách gồm có các địa chỉ nguồn và đích, TCP và cổng giao thức gam dữ liệu người dùng, giao thức IP và địa chỉ MAC. Về phía quan điểm kiến trúc mạng, điều này cần phải có sự bổ sung nội tuyến. Các phương pháp NAC nội tuyến tự động hóa quá trình quản lý các danh sách điều khiển truy cập.

Phương pháp khác liên quan đến việc gán các mạng LAN ảo (VLAN) để cách ly các máy bị cách ly với mạng công ty. Một phương pháp tương đối đơn giản là sử dụng giao thức cấu hình host động (DHCP) để gán một client đến các mạng khác nhau. Phương pháp này không chỉ đặt máy vào lớp 3 VLAN hạn chế mà nó còn cho phép cấu hình client khác như các máy chủ DNS. Ví dụ, tất cả các yêu cầu Web page có thể giải quyết ở bên trong một máy chủ Web để hiển thị chính sách sử dụng bằng một nút “Accept” (chấp nhận).

Trong nhiều cơ sở hạ tầng switch phức tạp, một hệ thống NAC có thể được sử dụng kết hợp với các switch để cấu hình động cổng switch của máy trở thành một thành viên của VLAN nào đó. Mặc định, tất cả các cổng switch trên mạng được bảo vệ NAC được thiết kế để cách ly VLAN có sự truy cập giới hạn. Khi hệ thống NAC phát hiện máy đã có một số yêu cầu NAC thì nó chỉ dẫn cho switch thay đổi cổng bằng việc cung cấp cho hệ thống một VLAN ít hạn chế hơn.

Một số NAV sử dụng 802.1x không chỉ cho sự thẩm định mà còn sử dụng giao thức thẩm định mở rộng (Extensible Authentication Protocol) để nhớ thông tin trạng thái hệ thống. Giống như phương pháp cổng VLAN, sự truy cập dựa trên chính sách bảo mật đã được thiết lập được thực hiện ở mức cổng switch.

Về sau này có phương pháp giao thức giải pháp địa chỉ (ARP), phương pháp này ở trong môi trường nội tuyến bằng việc quản lý bảng ARP của client.

Thiết bị NAC được đặt tại điểm ra vào của switch (đôi khi còn coi như cổng SPAN) và đáp ứng các yêu cầu ARP cho cổng. NAC chèn địa chỉ MAC vào bảng ARP của client, bằng cách đó yêu cầu client gửi tất cả lưu lượng không cục bộ vào NAC. Khi hệ thống thỏa mãn được các tham số NAC nó sẽ được phép truyền thông với cổng đúng.

Mỗi một phương pháp có sự bảo vệ khác nhau. Với phương pháp DHCP, một người dùng có thể gán một cách tĩnh máy của anh ta một địa chỉ công hợp lệ, do đó có thể băng qua sự cách ly DHCP. ARP cũng có thể bị khai thác bằng việc tạo một đầu vào ARP thủ công cho cổng nếu địa chỉ MAC cho cổng bị lộ. Mặc dù vậy, hầu hết các hệ thống NAC đều có một số biện pháp đối phó trước những mưu đồ này.

Cốt lõi của sự truy cập cũng phải được xem xét. Ví dụ, không giống như các giải pháp NAC mức cổng, NAC nội tuyến cung cấp điều khiển cứng nhắc đối với mạng xương sống của công ty và Internet nhưng sự truy cập vào các máy trên cùng một bên NAC không bị hạn chế. Hay nói cách khác, máy A vẫn có thể truy cập hoàn toàn vào máy B nếu cả hai trên cùng một switch sau NAC.

Ủy nhiệm người dùng

Việc thẩm định nhận dạng người dùng là một thành phần quan trọng trong các hệ thống NAC. Trong trường hợp đơn giản nhất như trong các cửa hàng có hot spot chẳng hạn, một người dùng được cho phép những gì có thể được gọi là khách nếu anh ta đồng ý tuân theo chính sách người dùng. Trong các trường hợp khác, các phương pháp hạn chế truy cập khác có thể hữu ích hơn rất nhiều.

Trong môi trường thẩm định đơn giản, một NAC có thể truy vấn một máy chủ RADIUS để xác định xem người dùng có được phép hay không đối với việc truy cập mạng nội bộ và Internet. Nếu người dùng tồn tại và password của họ là đúng thì một sự truy cập đầy đủ sẽ được cấp cho người này, còn không chính sách mặc định (đối với những người không được thẩm định) chỉ cấp các cổng chung dành cho khách truy cập Internet (như http, https,… được phân biệt bởi chính sách bảo mật công ty).

Với các môi trường phức tạp hơn, các nhà quản lý tầm cao cần đến sự truy cập vào các hệ thống ERP, các nhân viên quản trị mạng cần truy cập vào máy chủ, người điều chỉnh bảo hiểm cần truy cập vào cơ sở dữ liệu, các chính sách dựa trên phẩm chất người dùng có thể được tạo ở đây. Bằng việc ghép nối với Lightweight Directory Access Protocol (LDAP) hoặc Active Directory server, các kiểu vai trò người dùng có thể chỉ thị mức truy cập của nhân viên xác thực được chấp nhận đối với các hệ thống và ứng dụng.

Từ viễn cảnh người dùng, sự thẩm định có thể được thực hiện thông qua một số phương pháp. Phương pháp đơn giản nhất là Web-based; mặc dù vậy, phương pháp này yêu cầu mở trình duyệt mà không cần quan tâm đến ứng dụng thực hiện truy cập. Bất cứ thứ gì mà URL yêu cầu trình duyệt đều chuyển đến trang đăng nhập NAC. Những phương pháp khác sử dụng phần mềm cục bộ để đi qua thông tin thẩm định.

Trạng thái máy

Nguồn: NetworkdCác sâu máy tính có thể làm tê liệt mạng công ty, xâm nhập vào dữ liệu và làm vô hiệu hóa các hệ thống then chốt. Nó cũng giống như một lỗ hổng trong các máy của mạng. Hầu hết những bổ sung của NAC đều có phương pháp thực hiện đánh giá lỗ hổng này trên client để kiểm tra máy có bị xâm nhập hay có lỗ hổng không và làm đông cứng chúng lại như chính sách đã tuyên bố.

Có ba loại đánh giá lỗ trạng thái bảo mật cơ bản: bên ngoài, bên trong, và truyền tải. Đánh giá bên ngoài gồm một máy chủ trung tâm thực hiện quét cho máy khách (client). Nhiều hệ thống NAC sử dụng quét Nessus thay đổi đối với các lỗ hổng và phần mềm mã nguy hiểm. Mặc dù vậy các client được bảo vệ bởi tường lửa có thể giảm hiệu quả của việc quét này.

Đánh giá trạng thái bên trong gồm có việc cài đặt một tác nhân trên máy để có thể quản lý sự thẩm định, thực hiện các kiểm tra đã gán trên client và báo cáo các kết quả về hệ thống NAC. Ví dụ, trong môi trường Windows, sự cài đặt chống virus cho ra một khóa thanh ghi có thể được kiểm tra. Rõ ràng rằng, có thể nhận thấy được khóa có thể được chèn thủ công để lừa quá trình này. Trong các trường hợp khác, tác nhân có thể kiểm tra sự hiện diện của file cụ thể trên máy cục bộ, không quan tâm đến hệ điều hành.

Phân tích dữ liệu truyền tải là một phương pháp tích cực hơn nhiều. Giống như các công cụ ngăn chặn xâm phạm, các hệ thống NAC sử dụng phương pháp này quét lưu lượng mạng và tìm kiếm những dấu hiệu về mã hiểm độc đã được biết. Một máy đã được cho phép truy cập đầy đủ nhưng sau đó trở thành một máy bị nhiễm độc và bắt đầu có những hành động nguy hiểm sẽ bị đóng truy cập mạng ngay tức khắc.

Một số hệ thống NAC nâng cao có sự phát hiện ở mức cao hơn bằng cách dựa vào sự nhận dạng hệ điều hành để chỉ rõ chính sách truy cập nào nên được áp dụng. Điển hình là sẽ có nhiều hình thức kiểm tra hơn được thực hiện đối với máy Windows so với các hệ điều hành khác.

Phá vỡ sự phát hiện hệ điều hành là hoàn toàn có thể, điều đó phụ thuộc vào phương pháp nào được sử dụng. Ví dụ, nếu sự phát hiện dựa vào những gì mà trình duyệt client báo cáo thì người dùng có thể chỉ đơn giản cấu hình lại trình duyệt để nó xuất hiện như đang chạy trên một hệ điều hành khác. Cũng khá may mắn các kỹ thuật nhận dạng hệ điều hành (như việc kiểm tra vết chân TCP) liên tục được phát triển tinh vi hơn, chính vì vậy có thể giảm được sự phá vỡ như vậy.

Tùy chọn mã nguồn mở

Rõ ràng, một số root cơ bản của NAC có thể chỉ ra được các sáng kiến mã nguồn mở và có một số hệ thống mã nguồn mở với nhiều tính năng khác nhau. Khi công nghệ NAC được thiết lập dành cho thị trường thương mại xu thế chủ đạo thì có một tùy chọn mã nguồn mở có thể là lý tưởng được phụ thuộc vào những cần thiết và chính sách hệ thống NAC sẽ ép buộc.

Hệ thống thương mại có nhiều tính năng hơn bản sao mã nguồn mở và chúng cũng có nhiều sự hỗ trợ hơn. Nhưng điều đó không thực sự là vấn đề. Nó không có nghĩa là mã nguồn mở sẽ trở nên yếu thế. Đã có một vài hệ thống mã nguồn mở có sự phát hiện, thẩm định và khả năng cách ly khá tinh vi.

Tại sao không đi theo chiều hướng mã nguồn mở? Nếu có một hệ thống mã nguồn mở cung cấp đủ các chức năng cần thiết và các khía cạnh kỹ thuật, giá thành triển khai về cơ bản là thấp. Hơn thế nữa, mặc dù có thể không có được sự hỗ trợ của các hãng truyền thông nhưng trong một số trường hợp, các công ty nhóm thứ ba cũng cung cấp nhiều sự hỗ trợ và thường có các chuyên gia của họ trả lời cho các vấn đề về nó.