Network Access Control

In document I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 1. Mục đích của tài liệu (Page 151-154)

III. INFRASTRUCTURE SECURITY (AN NINH HẠ TẦNG)

14. Network Access Control

Để đảm bảo người dùng truy cập vào hệ thống mạng không tìm cách tấn công cần phải có quá trình kiểm tra, đánh giá và đưa ra hướng giải quyết.

VD: Một nguời khách đến công ty bạn, truy cập vào mạng Wifi mặc định người khách đó sẽ không thể vào trong mạng nội bộ được. Để truy cập vào mạng nội bộ cần phải qua một loạt bước

Page | 152 Copyright by Tocbatdat

kiểm tra. 1. Cài đặt Agent kiểm tra máy tính đó có đảm bảo tính an toàn hanh không. 2. NAC gateway sẽ đưa ra Policy quyết định máy tính đó có được truy cập vào những vùng nào.

Ở đây tôi trình bày một bài viết về Cisco NAC, các hệ thống khác hoạt động tương tự:

Cisco NAC là một cách triển khai Network Admission Control một cách đơn giản, được sử dụng cho cấu trúc mạng để đảm bảo các chính sách bảo mật được áp dụng cho toàn bộ các thiết bị truy cập vào các tài nguyên mạng. Với NAC, các nhà quản trị có thể xác thực, uỷ quyền, và đánh giá, dựa trên các kết nối sử dụng dây hay wireless, các người dùng truy cập từ xa. Nó nhận diện được các thiết bị như laptops, IP phones, hay các máy chơi game, với các chính sách bảo mật và ngăn chặn các nguy cơ tiềm ẩn trong quá trình truy cập dữ liệu của người dùng

Tác dụng của Network Admission Control

Dữ liệu trong hệ thống mạng bị nhiễm virus hiện nay là một vấn đề cần được quan tâm một cách thích đáng, các loại virus ngày càng có ảnh hưởng lớn đối với hệ thống. Tài nguyên được sử dụng được bảo đảm không bị nhiễm virus là một yêu cầu và cần phải được thực hiện, với tính năng chống virus hiệu quả Network Admission Control là một giải pháp.

Cisco NAC giúp đảm bảo tình trạng của các máy client trước khi truy cập vào mạng. NAC làm việc với một chương trình Anti-Virus để tạo ra các điều kiện, các chính sách thiết lập được cung cấp cho các máy client trước khi chúng truy cập vào các tài nguyên mạng.

NAC đảm bảo các máy client trong mạng luôn luôn được cập nhật các bản nâng cấp cho phần mềm diệt virus một cách tốt nhất. Nếu client có một yêu cầu cập nhật bản nâng cấp, giải pháp NAC sẽ mang đến khả năng cung cấp cập nhật trực tiếp cho quá trình cập nhật từ các máy client.

Nếu client có sự xuất hiện đột ngột virus có thể gây ra ảnh hưởng đối với toàn mạng, NAC sẽ chuyển máy client đó đến một vùng mạng được cách ly hoàn toàn cho đến khi quá máy client được kiểm tra một cách kỹ lưỡng và đảm bảo không còn virus cũng như những khả năng nguy hai cho hệ thống mạng.

Cách làm việc của Network Admission Control.

Việc triển khai ứng dụng NAC được tích hợp từ nhiều giao thức hiện nay thường sử dụng và các sản phẩm của Cisco với một vài sản phẩm và các tính năng như:

• Cisco Trust Agent (CTA) and plug-ins

• Cisco IOS Network Access Device (NAD)

• Extensible Authentication Protocol (EAP)

• Cisco Secure Access Control Server (ACS)/Remote Authentication Dial-In User Service (RADIUS)

• Posture validation/remediation server

Page | 153 Copyright by Tocbatdat

CTA giao tiếp với các phần mềm khác trên máy client qua Application Program Interface (API) và trả lời về tình trạng của mình từ các yêu cầu của NAD. CTA là yêu cầu cần thiết để giao tiếp trong quá trình triển khai NAC (CTA giao tiếp với NAC sử dụng EAP qua giao thức UDP). Một phần mềm bao gồm một Posture Plug-In (PP) tạo nên giao diện cho CTA. PP là một tác nhân được thực hiện trên một phần mềm từ các nhà sản xuất khác có tác dụng thực hiện các chỉnh sách và trạng thái của phần mềm đó.

Hiện tại việc triển khai NAC thì NAD là phần mềm Layer 3 Cisco IOS trong các thiết bị dùng để truy vấn các máy client tìm kiếm và kiểm soát tình hình sử dụng EAP qua giao thức UDP (EAP over UDP - EOU). Phương pháp này khác với các thành phần của giải pháp NAC được thể hiện ở hình dưới đây:

Hình: hiển thị cách thức NAC làm việc

NAC với các thành phần làm việc với nhau:

1. Client gửi một gói tin tới một NAC-enabled router.

2. NAD bắt đầu được thực hiện để phê chuẩn quá trình đó với việc sử dụng EOU.

3. Client gửi một thông điệp với khả năng xác thực đảm bảo được sử phê chuẩn của NAD sử dụng EOU tới NAD.

4. NAD gửi thông điệp tới Cisco ACS sử dụng giao thức xác thực RADIUS.

5. Cisco Secure ACS yêu cầu có sự phê chuẩn được sử dụng qua giao thức Host Credential Authorization Protocol (HCAP) trong một HTTPS tunnel.

6. Thông điệp từ máy chủ được gửi đi để trả lời cho yêu cầu là: pass, fail, quarantine.

7. Để cho phép hay cấm truy cập vào mạng, Cisco Secure ACS gửi một thông điệp đồng ý với ACLs/URL.

8. NAD chuyển thông điệp đó cho client.

Page | 154 Copyright by Tocbatdat

9. Client sẽ được phép truy cập hay bị cấm truy cập.

Khi một client gửi một yêu cầu truy cập vào mạng (1),NAD được thực hiện để chuyển thông điệp

"yêu cầu cần được phê chuẩn" (2). Sau đó được gửi đến CTA sau khi nhận được sẽ chuyển đến Cisco Secure ACS, và sau đó một phiên Protect EAP (PEAP) được thực hiện từ CTA sau đó gửi kiểm tra tư cách của client đó xem có đáng tin cậy hay không được thực hiện từ PPs trên máy client tới NAD (3), chúng được chuyển đến Cisco Secure ACS qua giao thức RADIUS (4). Việc thẩm định xem client có đáng tin cậy không bằng cách lấy các thông tin về trạng thái của phần mềm được cài trên máy client. Cisco Secure ACS kiểm tra và thẩm định khả năng tin tưởng bằng cách kiểm tra trạng thái của client đó với các chính sách đã được tạo ra trong cơ sở dữ liệu của nó.

Cisco Secure ACS cũng có thể cấu hình để chuyển yêu cầu thẩm định đó đến một máy chủ khác để cho việc thẩm định (5). Quá trình đó làm việc sử dụng HCAP trên một HTTPS tunnel. Nó có thể là một tuỳ chọn trong phần mềm của client với một PP và một máy chủ dùng để thẩm định về tình trạng của máy client.

Khi một máy chủ bên ngoài dùng vào việc thẩm định tính xác thực cho quá trình đăng nhập của máy client sau đó sẽ gửi thông điệp thẩm định đó tới Cisco Secure ACS. Cisco ACS sau đó tổng hợp toàn bộ các chính sách tại đó và các chính sách được kiểm tra trên máy chủ sau đó trả lại thông tin đã được tổng hợp cho Client. Cisco Secure ACS sau đó gửi thông tin Access Control List (ACL) cho NAD để cung cấp các chính sách cho client (8).

In document I. MỤC ĐÍCH VÀ PHẠM VI TÀI LIỆU 1. Mục đích của tài liệu (Page 151-154)