เลือก Network Access Control (NAC) อย่างไรให้เหมาะสมกับองค์กร?

สำหรับเทคโนโลยี Network Access Control หรือที่เราเรียกกันสั้นๆ ว่า NAC นั้น เป็นเทคโนโลยีที่หลายๆ ท่านคงจะเคยได้ยินผ่านหูกันมาบ้างแล้ว หรือบางท่านอาจจะเคยนำเข้าไปทดสอบในระบบของตนเอง ปัญหาที่เกิดขึ้นในขณะนี้คือ “NAC ใช้งานจริงไม่ได้” อันเนื่องมาจากความช้าที่เกิดขึ้น, ควบคุมระบบเครือข่ายได้บ้างไม่ได้บ้าง, PoC ผ่านแต่ใช้งานจริงแล้วมีปัญหา คราวนี้เรามาลองเจาะลึกกันดู ว่าทำไม NAC ถึงมีปัญหา และจะเลือก NAC ให้เข้ากับองค์กรของเราอย่างไรดี

หน้าที่ของ NAC

หน้าที่ของ NAC นั้นก็ค่อนข้างจะตรงตัวกับชื่อของมัน คือการควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่าย (Network Access Control) ซึงในการที่เราจะควบคุมสิทธิ์ในการควบคุมการเข้าถึงระบบเครือข่ายได้นั้น ในเบื้องต้นอุปกรณ์ NAC เองจะต้องแยกแยะและรู้จักอุปกรณ์อื่นๆ ในระบบเครือข่ายของเราให้หมดก่อน ว่าอุปกรณ์ไหนเป็น PC, Server, Printer, IP Phone, Switch, Router หรือ Access Point แล้วจึงค่อยทำการกำหนดสิทธิ์ต่างๆ ตามนโยบายความปลอดภัยของเรา เช่น การยืนยันตัวตน, สิทธิ์ในการเข้าถึง Server และ Printer, สิทธิ์ในการใช้งาน Protocol ต่างๆ หรือแม้แต่การบังคับลง Software และ Patch ต่างๆ กัน

ดังนั้นในภาพรวมแล้ว หน้าที่ของ NAC จะถูกจำแนกได้ดังต่อไปนี้

  1. Automatic Discovery and Classification: ทันทีที่ติดตั้งอุปกรณ์ NAC เข้าไปในระบบเครือข่าย อย่างน้อยๆ อุปกรณ์ NAC จะต้องช่วยเราค้นหาอุปกรณ์อื่นๆ ทั้งหมดในระบบมาแสดงเป็นภาพรวมให้เราได้เห็นก่อน และค่อยๆ ทำการจัดแบ่งประเภทอุปกรณ์ออกจากกัน ว่าเป็น PC ที่ติดตั้ง OS ประเภทใด หรือเป็นอุปกรณ์ Network อื่นๆในบางกรณี ก็มีเช่นกันว่าผู้ดูแลระบบติดตั้งตัว NAC ไป เพื่อวัตถุประสงค์ทางด้าน Discovery เป็นหลัก อาจจะเนื่องจากความหลากหลายของอุปกรณ์ Network ภายในองค์กร หรือผู้ใช้งานที่มีอุปกรณ์ส่วนตัวเข้ามาใช้งานมาก หรือแม้แต่มีอุปกรณ์เก่าๆ ที่อยู่ในระบบตั้งแต่ผู้ดูแลระบบจะเข้ามาทำงาน ซึ่ง Solution ที่ทำให้ผู้ดูแลระบบเห็นภาพรวมของระบบเครือข่ายโดยไม่ยึดติดกับยี่ห้อของอุปกรณ์ใดๆ ก็ถือว่าเป็นอีกหนึ่งใน Solution ที่มีคนตามหามากที่สุดเช่นกัน
  2. Identity-based Policy Enforcement: สามารถบังคับใช้นโยบายความปลอดภัยต่างๆ ในลักษณะของ Identity-based ได้ โดยนำข้อมูลจากการค้นหาและจำแนกในข้อที่แล้ว มาบังคับใช้ต่อว่าอุปกรณ์ประเภทไหนจะมีสิทธิ์เข้าถึงระบบเครือข่ายมากน้อยแค่ไหน และอุปกรณ์ประเภทไหนจะต้องทำการยืนยันตัวตนด้วยวิธีการแบบใดบ้าง ไม่ว่าจะเป็น Mac Authentication, 802.1X หรือ Web Authentication ก็ตาม และจะยืนยันกับฐานข้อมูลใด เช่น Microsoft AD, LDAP, RADIUS, Novell หรือ Local Databaseในบางองค์กร อาจมีการกำหนดนโยบายแยกตามผู้ใช้งานตามแผนก โดยมีการดึงข้อมูลจาก AD หรือ LDAP มาช่วยจำแนก หรือให้อุปกรณ์ NAC จำแนกให้เองก็ได้ โดยเฉพาะอย่างยิ่งภายในองค์กรที่พนักงานมีการย้ายสถานที่ทำงานบ่อยๆ จนไม่สามารถจะ Fix IP หรือ VLAN ให้ผู้ใช้งานแต่ละคนได้ เพื่อให้ผู้ใช้งานแต่ละแผนกมีสิทธิ์ในการเข้าถึงข้อมูลที่แตกต่างกันสำหรับกรณีของ Guest บางครั้งอาจมีความต้องการสำหรับ Guest Registration Page เพื่อให้แขกสามารถลงทะเบียนด้วยตนเอง และรอรับการยืนยันจาก Admin ก็ได้เช่นกัน
  3. Network-based Policy Enforcement: สามารถบังคับสิทธิ์ในการเข้าถึงระบบเครือข่ายของผู้ใช้งานรายบุคคลได้ เปรียบเสมือนการติดตั้ง Firewall ไว้ที่ด้านหน้าของเครื่อง PC และ Notebook แต่ละเครื่อง เพื่อให้สิทธิ์ในการเข้าถึงข้อมูลเป็นไปดังที่นโยบายกำหนดไว้ประเด็นหลักๆ ที่ผู้ดูแลระบบต้องดูก็คือ “วิธีการที่ใช้ในการควบคุมสิทธิ์ของ NAC แต่ละยี่ห้อ” ซึ่งแต่ละยี่ห้อเองก็มีวิธีการในการบังคับที่แตกต่างกันไป ไม่ว่าจะเป็นการใช้ Agent, SNMP, Switch Control, Firewall Control, 802.1X, Virtual Firewall หรือในกรณีที่เลวร้ายที่สุด คุณอาจอนุญาตให้ NAC ทำ ARP Spoofing โจมตีทั้งระบบเครือข่ายพร้อมๆ กันโดยไม่รู้ตัวก็เป็นได้
  4. Application-based Policy Enforcement: สามารถบังคับสิทธิ์การใช้งาน Application ของผู้ใช้งานในระบบได้ โดยการติดตั้ง Agent Software หรือการ Remote ผ่านทาง Administrator Account ของ Microsoft AD เพื่อบังคับให้มีการติดตั้งและใช้งาน Software ต่างๆ ที่จำเป็น เช่น Antivirus, PC Management หรือ OS Patch และบังคับให้หยุดใช้งานโปรแกรมที่ผิดนโยบายขององค์กร เช่น การเล่น MSN ในเวลาทำงาน, โหลด Bittorrent เป็นต้น
  5. IPS-based Policy Enforcement: สามารถทำหน้าที่เป็น IPS เพื่อตรวจจับการโจมตีระบบเครือข่ายจากผู้ใช้งานแต่ละคนได้ ไม่ว่าจะเป็นการโจมตีโดยตั้งใจ หรือการโจมตีโดยไม่รู้ตัวผ่านทางไวรัสและเวิร์คม แล้วนำข้อมูลตรงนี้มาบังคับสิทธิ์ในการเข้าถึงระบบเครือข่ายที่เข้มข้นยิ่งขึ้น เช่น ห้ามใช้ Protocol อื่นๆ นอกเหนือจาก HTTP หรือ ห้ามเข้าถึง Server ใดๆ ในขณะที่ต้องสงสัยว่าอาจจะติดไวรัสหรือโจมตีระบบเครือข่าย
  6. Real Time Monitoring and Reporting: NAC ที่ดีจะต้องมีหน้าจอสำหรับทำการ Monitor แบบ Real Time เพื่อให้ผู้ดูแลระบบสามารถติดตามเหตุการณ์ที่เกิดขึ้นได้อย่างทันท่วงที รวมถึงสามารถสรุปเหตุการณ์ต่างๆ ที่เกิดขึ้นเพื่อนำไปวิเคราะห์ข้อมูลเพิ่มเติมได้

แต่ก็ไม่ใช่ NAC ทุกยี่ห้อที่จะมีความสามารถที่ครบครันแบบนี้ ดังนั้นในการเลือก NAC ให้เหมาะสมกับองค์กร ก็อาจจะพิจารณาหลายๆ ยี่ห้อก่อนจะทำการตัดสินใจ

NAC Architecture: Inline vs. Out-of-Band

ในการติดตั้ง NAC นั้นมี Architecture ที่หลากหลาย กล่าวโดยกว้างๆ จะสามารถแบ่งได้เป็น 2 ประเภท ได้แก่

  1. Inline NAC: เป็น NAC ที่มีการติดตั้งขวางเส้นทางการส่งข้อมูลในระบบเครือข่าย เช่นเดียวกับ Firewall และ IPS ซึงปัญหาที่มักจะพบคือ NAC ทำให้ระบบเครือข่ายทำงานช้าลง หรือเมื่ออุปกรณ์ NAC มีปัญหาแล้ว Network ต้องหยุดทำงาน ยกเว้นจะทำการติดตั้งแบบ Redundant ซึ่งมีค่าใช้จ่ายสูงมาก และอาจมีปัญหาเรื่องจำนวนพอร์ตที่ Core Switch ไม่พออีกด้วย
  2. Out-of-Band NAC: เป็น NAC ที่มีการติดตั้งในลักษณะที่ไม่ขวางเส้นทางการส่งข้อมูลในระบบเครือข่าย เพื่อให้ระบบเครือข่ายยังคงทำงานด้วยความเร็วปกติในขณะที่ทำการควบคุมสิทธิ์การเข้าถึงข้อมูลปัญหาที่เกิดขึ้นคือ Out-of-Band NAC นั้น ถูกสร้างขึ้นมาด้วยเทคโนโลยีที่หลากหลายมากตามแต่ละเจ้าจะเลือกใช้ ซึ่งบางวิธีก็ดี แต่บางวิธีก็ไม่ ซึ่งในประเด็นนี้เราจะมาลงลึกกันในหัวข้อถัดไป

Out-of-Band Technology: Pros and Cons

สำหรับวิธีการที่ Out-of-Band NAC แต่ละยี่ห้อใช้ในโลกนี้กันนั้น ทางเราได้สรุปออกมาเป็นข้อๆ พร้อมข้อดีข้อเสียของแต่ละวิธีได้ดังนี้

  1. Virtual Firewall: เป็นวิธีการในการควบคุมสิทธิ์ของผู้ใช้งานแต่ละคน โดยทำการสร้าง Firewall เสมือนขึ้นโดยอุปกรณ์ NAC เอง ไม่จำเป็นต้องแก้ไขค่า Configuration ของอุปกรณ์เครือข่ายใดๆ และไม่จำเป็นต้องลง Agent ที่เครื่องลูกข่ายอีกด้วย
    ข้อดี: เป็นวิธีการที่ดีต่อระบบเครือข่ายและผู้ดูแลระบบเครือข่ายที่สุด เนื่องจากเข้าใจง่าย ใช้งานได้ง่าย และไม่ต้องทำการแก้ไขระบบเครือข่ายหรือลง Agent เลย
    ข้อเสีย: เป็นวิธีการเฉพาะที่มีอยู่ใน NAC บางยี่ห้อเท่านั้น
  1. 802.1X: เป็นหนึ่งในวิธีมาตรฐานที่ NAC ทุกยี่ห้อควรจะทำได้ โดยการตั้งค่า 802.1X ที่ทุกพอร์ตของ Switch แล้วกำหนดให้ NAC ทำหน้าที่เป็น RADIUS Proxy เพื่อคอยรับข้อมูลการยืนยันตัวตน และกำหนด VLAN ของแต่ละคน โดยอาจจะมีการแก้ไขค่า ACL ของ Switch ไปพร้อมๆ กับด้วย
    ข้อดี: วิธีการนี้ถือว่าปลอดภัยค่อนข้างมาก เพราะถ้าการยืนยันตัวตนไม่สำเร็จ ผู้ใช้งานจะไม่สามารถทำอะไรในระบบเครือข่ายได้เลย
    ข้อเสีย: วิธีการนี้มีการติดตั้งที่ยุ่งยากมาก และแทบจะเป็นไปไม่ได้ในการใช้งานจริง เนื่องจากการตั้งค่า 802.1X นั้น ต้องทำที่ Edge Switch ซึ่งเป็นแบบ Manageable ทั้งหมด และต้องทำการตั้งค่าบน PC และ Notebook ทุกเครื่อง รวมถึงระบบยังมี Single Point of Failure เพิ่มขึ้นเนื่องจาก NAC ที่เป็น RADIUS Proxy อีกด้วย
  2. Stateful DHCP: เป็นการติดตั้ง Agent บน DHCP Server เพื่อให้ทำการตรวจจับเมื่อมีการร้องขอ DHCP ว่าเป็นเครื่องที่อยู่ในระบบหรือไม่ ถ้าใช่ก็ให้ทำการแจก IP Gateway หลักไป แต่ถ้าไม่ใช่ก็ให้ทำการแจก IP Gateway สำหรับ Guest เพื่อให้ผ่านกระบวนการทางด้านความปลอดภัยต่อไป
    ข้อดี: ติดตั้งง่าย และเข้าใจง่าย
    ข้อเสีย: การ Fix IP ที่เครื่องผู้ใช้งานเป็นช่องโหว่ที่ร้ายแรงของ NAC ประเภทนี้ เนื่องจาก NAC จะไม่สามารถควบคุมอะไรผู้ใช้งานได้อีกเลย
  3. Switch Control / Firewall Control: เป็นการใช้ SNMP หรือ Proprietary Protocol เพื่อให้ NAC สามารถทำการแก้ไขค่า ACL ของ Switch หรือ Firewall  ได้ เพื่อให้ Switch และ Firewall เป็นตัวช่วยในการกำหนดสิทธิ์สำหรับผู้ใช้งานแต่ละคน
    ข้อดี: ส่วนใหญ่ NAC ประเภทนี้จะสามารถทำงานได้ดีกับ Switch/Firewall ยี่ห้อเดียวกัน ดังนั้นถ้ามองหา Solution ที่เป็นยี่ห้อเดียวกันทั้งหมด ก็มักจะเป็น NAC ประเภทนี้
    ข้อเสีย: วิธีการนี้จริงๆ แล้วหลักการทำงานเหมือนกับ Inline NAC และส่งผลกระทบต่อความเร็วในการใช้งานระบบเครือข่ายอย่างแน่นอน เนื่องจาก Switch และ Firewall เองไม่ได้ถูกออกแบบมาให้รับกับการสร้าง ACL ต่อทุกๆ IP ในระบบเครือข่าย และมีการแก้ไข ACL ตลอดเวลา นอกจากนี้ยังมีข้อเสียที่ร้ายแรงอีกก็คือ การที่ NAC ทำการแก้ไข Config ของอุปกรณ์อื่นๆ โดยอัตโนมัติมากจนเกินไป เมื่อถึงวันหนึ่งผู้ดูแลระบบอยากจะเลิกใช้ NAC หรืออุปกรณ์ NAC มีปัญหา การกู้คืน Config ของทั้งระบบเครือข่ายคงไม่ใช่เรื่องที่สนุกอย่างแน่นอน
  4. Agent Control: เป็นการใช้ Software Agent ทำหน้าที่เป็น Firewall ประจำ PC/Notebook เพื่อควบคุมสิทธิ์ต่างๆ ของผู้ใช้งาน
    ข้อดี: เป็นวิธีการที่ไม่ส่งผลกระทบต่อระบบเครือข่าย และเข้าใจได้ง่าย
    ข้อเสีย: วิธีการนี้จะมีปัญหาเมื่อมีเครื่อง PC/Notebook เก่าๆ เยอะ เนื่องจาก Agent เหล่านี้จะกิน Performance ของแต่ละเครื่อง รวมถึงจะมีปัญหาเมื่อองค์กรของคุณมีผู้ใช้งานกลุ่มที่เป็น Guest เยอะ เนื่องจาก NAC ประเภทนี้จะไม่สามารถควบคุม Guest หรือ PC ที่ไม่ได้ลง Agent ได้เลย
  5. ARP Spoofing: เป็นการใช้ NAC Appliance หรือ NAC Agent เพื่อทำ ARP Spoofing ในทุกๆ Subnet ของคุณ เพื่อทำ Man-in-the-Middle Attack ใส่เครื่องลูกข่ายทุกเครื่อง และทำการควบคุมสิทธิ์ด้วยวิธีการนี้
    ข้อดี: ติดตั้งง่าย และควบคุมระบบเครือข่ายได้ง่าย
    ข้อเสีย: คุณต้องยอมรับการโจมตีระบบเครือข่ายด้วยการทำ ARP Spoofing ในระบบเครือข่ายของคุณ ไม่ว่าจะเป็นการโจมตีจาก NAC เอง หรือจากแฮคเกอร์ก็ตาม ซึ่ง Switch ทั้งหมดในองค์กรของคุณก็จะต้องรับภาระของ Traffic ที่เพิ่มขึ้นเป็น 2 เท่า รวมถึงเครื่องที่ลง NAC Agent ก็จะต้องรับภาระในการประมวลผล Traffic ของทั้ง Subnet อีกด้วย ในขณะที่อุปกรณ์ทางด้าน Security เช่น UTM Firewall, IPS/IDS ก็จะต้องทำงานหนักขึ้นไปโดยปริยาย

ForeScout CounterACT: The Right NAC for You

ForeScout เป็นผู้ผลิต Out-of-Band NAC ที่มีความสามารถหลากหลาย โดยรองรับหลากหลายวิธีการในการควบคุมระบบเครือข่าย ไม่ว่าจะเป็น Virtual Firewall, 802.1X, Switch/Firewall Control, Agent Control รวมถึงมีความสามารถในการทำงานทั้งในลักษณะของ Identity-based, Network-based และ Application-based Access Control และการทำ Auto Discovery and Classification ที่แยกแยะได้ถึงระดับ Firmware ของ Switch อีกด้วย

สำหรับในประเทศไทย ForeScout CounterACT ได้ติดตั้งและใช้งานจริงในหน่วยงานที่มีผู้ใช้งานมากกว่า 9,000 คน หรือ 20,000 คนมาแล้ว ซึ่ง Reference Site เองก็เป็นอีกปัจจัยหนึ่งที่สำคัญในการพิจารณาระบบ NAC เพราะ NAC เป็นระบบที่มีผลกระทบเป็นวงกว้างต่อผู้ใช้งานในองค์กร ดังนั้นประเด็นทางด้าน User Acceptance และการติดตั้งโดยทีมงานที่มีประสบการณ์ ก็เป็นสิ่งที่สำคัญต่อการพิจารณาเช่นกัน

For more information

ForeScout Technologies