Network Access Control (NAC): ควบคุมอุปกรณ์ที่เชื่อมต่อ Network
NAC (Network Access Control) คือระบบที่ควบคุมว่าอุปกรณ์ใดสามารถเชื่อมต่อ network ขององค์กรได้ โดยตรวจสอบ identity ของอุปกรณ์และผู้ใช้ ตรวจ compliance (antivirus updated, OS patched) ก่อนอนุญาตให้เข้า network ถ้าไม่ผ่านจะถูกส่งไป remediation VLAN
ในยุคที่ BYOD (Bring Your Own Device) และ IoT แพร่หลาย อุปกรณ์ที่เชื่อมต่อ network มีหลากหลายมาก ตั้งแต่ laptop, smartphone, tablet ไปจนถึง IoT sensors, IP cameras ถ้าไม่มี NAC อุปกรณ์ที่ไม่ปลอดภัย (malware infected, unpatched) สามารถเข้า network ได้อย่างอิสระ บทความนี้จะอธิบาย NAC ตั้งแต่พื้นฐานจนถึงการ deploy
NAC ทำอะไรได้บ้าง
| Function | รายละเอียด |
|---|---|
| Authentication | ยืนยันตัวตนของอุปกรณ์และผู้ใช้ (802.1X, MAB, Web Auth) |
| Authorization | กำหนดสิทธิ์ตาม role (VLAN, ACL, SGT) |
| Posture Assessment | ตรวจ compliance ของอุปกรณ์ (AV, patches, firewall) |
| Remediation | แก้ไขอุปกรณ์ที่ไม่ผ่าน compliance (redirect ไป update) |
| Guest Access | ให้ guests เข้า network ผ่าน captive portal (internet only) |
| Profiling | ระบุประเภทอุปกรณ์อัตโนมัติ (printer, phone, laptop, IoT) |
| Visibility | เห็นทุกอุปกรณ์ที่เชื่อมต่อ network แบบ real-time |
Authentication Methods
| Method | วิธีทำงาน | เหมาะกับ |
|---|---|---|
| 802.1X | ใช้ EAP + RADIUS ยืนยันตัวตนด้วย credentials หรือ certificate | Corporate devices (laptop, desktop) |
| MAB (MAC Auth Bypass) | ใช้ MAC address เป็น identity | Devices ที่ไม่รองรับ 802.1X (printers, IoT) |
| Web Authentication | Redirect ไป captive portal ให้ login | Guest devices, BYOD |
| EAP-TLS | Certificate-based authentication (strongest) | High-security environments |
| PEAP | Username/password via encrypted tunnel | ทั่วไป (ง่ายกว่า EAP-TLS) |
NAC Architecture
Components
NAC Server (Policy Engine): สมองของระบบ ตัดสินใจว่าอนุญาตหรือไม่ ตัวอย่าง: Cisco ISE, Aruba ClearPass, FortiNAC RADIUS Server: ทำหน้าที่ authentication (มักรวมอยู่ใน NAC Server) Network Infrastructure: Switches + Wireless Controllers ทำหน้าที่ enforce policy (assign VLAN, apply ACL) Supplicant: Software บน endpoint ที่ส่ง credentials (Windows built-in, AnyConnect) Directory: Active Directory หรือ LDAP สำหรับ user authentication
NAC Workflow
ขั้นตอนเมื่ออุปกรณ์เชื่อมต่อ
Step 1: อุปกรณ์เสียบสาย LAN หรือเชื่อมต่อ WiFi Step 2: Switch/WLC ส่ง authentication request ไป NAC Server (RADIUS) Step 3: NAC Server ตรวจ identity (802.1X credentials, MAC address, หรือ web login) Step 4: NAC Server ตรวจ posture (AV updated? OS patched? Firewall on?) Step 5: NAC Server ตัดสินใจ: Pass → assign corporate VLAN + full access Fail posture → assign remediation VLAN (update only) Unknown device → assign guest VLAN (internet only) Denied → block access Step 6: Switch/WLC enforce policy (VLAN assignment, ACL)
Posture Assessment
| Check | ตรวจอะไร | ถ้าไม่ผ่าน |
|---|---|---|
| Antivirus | AV installed + definitions updated | Redirect ไป update AV |
| OS Patches | Critical patches installed | Redirect ไป Windows Update |
| Firewall | Host firewall enabled | Auto-enable หรือ remediate |
| Disk Encryption | BitLocker/FileVault enabled | Notify + remediate |
| USB Control | USB storage disabled | Block USB access |
NAC Vendors
| Vendor | Product | จุดเด่น |
|---|---|---|
| Cisco | ISE (Identity Services Engine) | Feature-rich, TrustSec SGT, pxGrid |
| HPE Aruba | ClearPass | Multi-vendor, strong profiling, CPPM |
| Fortinet | FortiNAC | Cost-effective, IoT profiling |
| Portnox | Portnox Cloud | Cloud-native NAC, easy deployment |
| Forescout | eyeSight | Agentless, IoT/OT visibility |
Deployment Best Practices
Phased Approach
Phase 1 – Monitor Mode: เปิด NAC ในโหมด monitor (ไม่ block อะไร) เก็บข้อมูลว่าอุปกรณ์อะไรเชื่อมต่อ network สร้าง device profiles + policy ใช้เวลา 2-4 สัปดาห์
Phase 2 – Low-Impact Mode: เริ่ม enforce สำหรับ guest + unknown devices Corporate devices ยังไม่ enforce (monitor only) ทดสอบ remediation workflow ใช้เวลา 2-4 สัปดาห์
Phase 3 – Full Enforcement: Enforce ทุก policy สำหรับทุกอุปกรณ์ 802.1X สำหรับ corporate devices MAB สำหรับ printers/IoT Web Auth สำหรับ guests
ข้อควรระวัง
| ปัญหา | วิธีแก้ |
|---|---|
| Legacy devices ไม่รองรับ 802.1X | ใช้ MAB (MAC Authentication Bypass) |
| IoT devices จำนวนมาก | ใช้ profiling + auto-assign VLAN ตามประเภท |
| User complaints เมื่อถูก block | Deploy แบบ phased, สื่อสารกับ users ก่อน |
| Certificate management (EAP-TLS) | ใช้ MDM สำหรับ certificate distribution |
ทิ้งท้าย: NAC คือ Foundation ของ Zero Trust
NAC ให้ visibility + control ว่าอุปกรณ์อะไรอยู่บน network เป็น foundation สำหรับ Zero Trust (verify ทุกอุปกรณ์ก่อนให้เข้า) deploy แบบ phased (monitor → low-impact → full enforcement) เลือก vendor ที่เหมาะกับ infrastructure ที่มีอยู่
อ่านเพิ่มเติมเกี่ยวกับ RADIUS Authentication 802.1X และ Zero Trust Network Architecture ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
