Tìm hiểu về Network Access Control

Chia sẻ: Bi Bo | Ngày: | Loại File: PDF | Số trang:3

Thêm vào BST

Báo xấu

105
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sáng tỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lập những gì để đúng cho môi trường của riêng bạn. NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tìm hiểu về Network Access Control

Tìm hiểu về Network Access Control Mặc dù vậy, NAC không dễ dàng có thể định nghĩa. Nó bao quát cả một dải rộng lớn về cả nghĩa và hệ phương pháp. Bài viết này chúng tôi chỉ hỗ trợ để làm sáng tỏ cho các bạn một số điểm cơ bản về NAC để có thể trả lời câu hỏi NAC thiết lập những gì để đúng cho môi trường của riêng bạn. NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làm việc của công ty bạn. Ví dụ như nhiều hot spot không dây tại các nhà hàng đã triển khai hệ thống NAC cơ bản để yêu cầu người dùng cần phải chấp nhận một số điều kiện trong chính sách sử dụng trước khi họ được phép truy cập vào mạng. Đây là một trường hợp làm việc đơn giản của NAC, bởi vì nhà hàng chỉ cung cấp một loại hình dịch vụ mạng đơn giản – đó là truy cập Internet. Mặc dù vậy, thiết lập như thế nào đó sẽ không giống nhau trong các môi trường, ví dụ như một mạng của một bệnh viện chẳng hạn. Để trả lời câu hỏi làm thế nào để chọn đúng phương pháp NAC cho mạng của bạn, có hai điều kiện tiên quyết phải được thỏa mãn. Thứ nhất, bạn phải hiểu về những gì NAC cung cấp có sẵn, chúng làm những gì, làm thế nào để làm được vậy và chúng có thể tích hợp vào trong mạng như thế nào. Thứ hai, những yêu cầu cần phải được làm sáng tỏ, sự bảo mật công ty và chính sách truy cập. Các hệ thống NAC không tạo ra các chính sách mà chỉ ép buộc chúng. Không có các chính sách đó, quyết định truy cập toàn bộ giữa các thành viên trở thành trách nhiệm của phòng CNTT (vấn đề gây khó khăn rất nhiều). Tìm hiểu NAC
Việc thực hiện truy cập mạng nhìn chung phải liên quan đến một trong ba dạng kiểm tra. Thứ nhất, như ví dụ trước về hot spot không dây, nó có thể được thỏa mãn bằng cách đơn giản chỉ yêu cầu người dùng đồng ý với một chính sách sử dụng trước khi họ kết nối vào mạng. Sự nhận dạng người dùng và trạng thái máy không có ý nghĩa đối với việc truy cập được chấp nhận hay không. Loại thứ hai đó là phê chuẩn tính hợp lệ của người dùng và thứ ba là phê chuẩn tính hợp lệ trạng thái máy. Hai dạng kiểm tra hiếm khi được sử dụng cho từ chối toàn bộ sự truy cập hoặc cho phép truy cập toàn bộ. Khi sử dụng kiểm tra sự hợp lệ của người dùng, sẽ có nhiều mức truy cập khác nhau đối với từng người dùng khác nhau. Đối với các quản trị viên thì được ưu tiên ở mức truy cập toàn bộ còn người dùng khác sẽ bị giới hạn một số ứng dụng. Trạng thái máy là trạng thái của máy tính có liên quan đến chính sách bảo mật đã được thiết lập. Nếu chính sách đó nằm trong một máy tính Windows đã nâng cấp các bản vá lỗi cho hệ điều hành thì kết nối sẽ bị hạn chế cho tới khi yêu cầu bản vá được hoàn tất trong máy truy cập. Bằng việc bảo đảm các máy phải có những yêu cầu về chính sách bảo mật, những hỏng hóc phá hoại do các loại sâu và virus mạng có thể giảm rõ rệt. Kết nối hạn chế mà người dùng được cho phép trước kết nối mạng hoàn chỉnh được cho phép là một trạng thái cách ly. Trạng thái cách ly này không có nghĩa là tất cả các truy cập đều bị khóa. Chính sách bảo mật có thể cho phép một máy đã bị cách ly có thể truy cập và download các file phần mềm chống virus đã được cập nhật. Khi lên kế hoạch cho việc triển khai một NAC, bạn cần phải hiểu những phương pháp cách ly cơ bản, những hạn chế của nó và làm thế nào chúng có thể liên kết được vứi cơ sở hạ tầng mạng của bạn. Phương pháp cách ly Ngay từ khi mới có mạng chia sẻ, các phương pháp cách ly thủ công đã được thi
hành bằng việc sử dụng danh sách điều khiển truy cập trên các router và switch. Các tham số chính sách gồm có các địa chỉ nguồn và đích, TCP và cổng giao thức gam dữ liệu người dùng, giao thức IP và địa chỉ MAC. Về phía quan điểm kiến trúc mạng, điều này cần phải có sự bổ sung nội tuyến. Các phương pháp NAC nội tuyến tự động hóa quá trình quản lý các danh sách điều khiển truy cập. Phương pháp khác liên quan đến việc gán các mạng LAN ảo (VLAN) để cách ly các máy bị cách ly với mạng công ty. Một phương pháp tương đối đơn giản là sử dụng giao thức cấu hình host động (DHCP) để gán một client đến các mạng khác nhau. Phương pháp này không chỉ đặt máy vào lớp 3 VLAN hạn chế mà nó còn cho phép cấu hình client khác như các máy chủ DNS. Ví dụ, tất cả các yêu cầu Web page có thể giải quyết ở bên trong một máy chủ Web để hiển thị chính sách sử dụng bằng một nút “Accept” (chấp nhận)