Home » Network Access Control (NAC): 802.1X, MAB และ Posture Assessment
Network Access Control (NAC): 802.1X, MAB และ Posture Assessment
Network Access Control (NAC): 802.1X, MAB และ Posture Assessment
Network Access Control (NAC) เป็น security framework ที่ควบคุมว่า devices ใดบ้างที่สามารถเชื่อมต่อ network ได้ NAC ใช้ 802.1X authentication เป็นหลัก ร่วมกับ MAB (MAC Authentication Bypass) สำหรับ devices ที่ไม่รองรับ 802.1X และ posture assessment เพื่อตรวจสอบว่า device ผ่าน compliance policies ก่อนให้เข้า network
หลายองค์กร ยังไม่มี NAC ทำให้ทุก device ที่เสียบสาย LAN หรือเชื่อมต่อ WiFi สามารถเข้า network ได้ทันที ไม่ว่าจะเป็น personal laptop, rogue device หรือแม้แต่ attacker’s device NAC ช่วยให้ควบคุมว่าใครเข้าได้ เข้าได้แค่ไหน และ device ผ่าน security requirements หรือไม่
NAC Components
| Component |
Role |
| Supplicant |
Client software บน endpoint ที่ส่ง credentials (Windows built-in, AnyConnect) |
| Authenticator |
Switch/AP/Controller ที่เป็น gatekeeper (ส่ง EAP ไป RADIUS) |
| Authentication Server |
RADIUS server ที่ verify credentials (ISE, FreeRADIUS, NPS) |
| Policy Server |
Define access policies (ISE, Aruba ClearPass, FortiNAC) |
| Directory |
User/device database (Active Directory, LDAP) |
802.1X Authentication Flow
| Step |
Action |
| 1 |
Device เชื่อมต่อ switch port → port อยู่ใน unauthorized state |
| 2 |
Switch ส่ง EAP-Request/Identity ไป supplicant |
| 3 |
Supplicant ตอบกลับด้วย EAP-Response/Identity (username) |
| 4 |
Switch forward EAP ไป RADIUS server (encapsulated ใน RADIUS) |
| 5 |
RADIUS server verify credentials กับ AD/LDAP |
| 6 |
RADIUS ส่ง Access-Accept + authorization attributes (VLAN, ACL) |
| 7 |
Switch ย้าย port เข้า authorized state + apply VLAN/ACL |
EAP Methods
| Method |
Authentication |
Certificate Required |
Security |
| EAP-TLS |
Client + Server certificate (mutual TLS) |
Both sides |
สูงสุด (gold standard) |
| PEAP (MSCHAPv2) |
Server cert + username/password |
Server only |
สูง (most common) |
| EAP-TTLS |
Server cert + inner method (PAP/CHAP) |
Server only |
สูง |
| EAP-FAST |
Cisco: PAC-based (no cert needed) |
Optional |
ปานกลาง |
| EAP-TEAP |
RFC 7170: successor to EAP-FAST |
Optional |
สูง |
MAB (MAC Authentication Bypass)
| Feature |
รายละเอียด |
| ใช้เมื่อ |
Device ไม่รองรับ 802.1X (printers, IP phones, IoT, cameras) |
| วิธีทำงาน |
Switch ใช้ MAC address ของ device เป็น credentials ส่งไป RADIUS |
| Format |
MAC address as username + password (e.g., aabbccddeeff) |
| Security |
ต่ำกว่า 802.1X (MAC address spoofable) |
| ใช้ร่วมกับ |
Profiling (identify device type) + limited access VLAN |
| Order |
802.1X first → timeout → MAB fallback |
Posture Assessment
| Check |
ตรวจอะไร |
Action ถ้า Fail |
| Antivirus |
AV installed + updated + running |
Quarantine VLAN + remediation portal |
| OS Patches |
Windows/macOS patches up to date |
Redirect to WSUS/update portal |
| Firewall |
Host firewall enabled |
Enable firewall หรือ quarantine |
| Disk Encryption |
BitLocker/FileVault enabled |
Block หรือ limited access |
| Domain Joined |
Device joined to corporate AD |
BYOD VLAN หรือ block |
| Agent Installed |
EDR/MDM agent running |
Redirect to install agent |
Authorization Results
| Result |
RADIUS Attributes |
ผลลัพธ์ |
| VLAN Assignment |
Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID |
ย้าย device เข้า VLAN ตาม policy |
| dACL (Downloadable ACL) |
Filter-Id หรือ cisco-av-pair |
Apply ACL จำกัด access |
| SGT (Cisco TrustSec) |
cisco-av-pair = cts:security-group-tag |
Assign security group สำหรับ micro-segmentation |
| URL Redirect |
url-redirect + url-redirect-acl |
Redirect ไป guest/remediation portal |
| CoA (Change of Authorization) |
RADIUS CoA (RFC 5176) |
เปลี่ยน authorization หลัง posture change |
NAC Vendors
| Vendor |
Product |
จุดเด่น |
| Cisco |
ISE (Identity Services Engine) |
Most feature-rich, TrustSec SGT, deep Cisco integration |
| Aruba/HPE |
ClearPass |
Multi-vendor friendly, strong profiling, good UI |
| Fortinet |
FortiNAC |
FortiGate integration, OT/IoT profiling |
| Juniper |
Mist Access Assurance |
Cloud-native NAC, AI-driven |
| Portnox |
Portnox Cloud |
Cloud-native NAC, easy deployment |
| FreeRADIUS |
Open-source |
Free, flexible, community support |
Deployment Best Practices
| Practice |
รายละเอียด |
| Phased Deployment |
Monitor mode → Low-impact → Closed mode (enforce ทีละขั้น) |
| Profiling first |
Profile ทุก device ก่อน enforce → รู้ว่ามี device อะไรบ้าง |
| 802.1X + MAB fallback |
802.1X สำหรับ managed devices, MAB สำหรับ IoT/printers |
| Guest VLAN |
มี guest VLAN สำหรับ unknown devices (internet only) |
| Critical VLAN |
มี critical VLAN เมื่อ RADIUS server ไม่ available |
| CoA |
ใช้ CoA สำหรับ posture re-evaluation + VLAN change |
| Logging |
Log ทุก auth attempt สำหรับ troubleshooting + audit |
ทิ้งท้าย: NAC = Who, What, Where, How
NAC = ควบคุม network access ด้วย identity + device health 802.1X = authenticate (PEAP/EAP-TLS), MAB = fallback สำหรับ IoT Posture = check AV, patches, firewall, encryption ก่อนให้เข้า Authorization: VLAN + ACL + SGT ตาม policy Deploy phased: monitor → low-impact → closed mode
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust ZTNA และ RADIUS TACACS+ ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
