Network Access Control คืออะไร? ทำไมต้องควบคุมการเข้าถึง Network
Network Access Control (NAC) คือ ระบบที่ควบคุมว่าอุปกรณ์ไหนเข้าถึง Network ได้ ต้องยืนยันตัวตนก่อนเชื่อมต่อ และตรวจสอบว่าอุปกรณ์ปลอดภัยหรือไม่ ถ้าไม่มี NAC ใครก็เสียบสาย LAN หรือเชื่อม WiFi เข้า Network ได้ ไม่ว่าจะเป็นพนักงาน แขก หรือ Hacker NAC ป้องกันไม่ให้อุปกรณ์ที่ไม่ได้รับอนุญาตเข้าถึง Network
802.1X — มาตรฐาน NAC
- คืออะไร: มาตรฐาน IEEE สำหรับ Port-Based Network Access Control
- วิธีทำงาน: อุปกรณ์เชื่อมต่อ → Switch/AP ถาม Credential → ส่งไป RADIUS → อนุญาต/ปฏิเสธ
- Supplicant: Software บนอุปกรณ์ที่ส่ง Credential (Windows มีในตัว)
- Authenticator: Switch หรือ AP ที่ทำหน้าที่ถาม Credential
- Authentication Server: RADIUS Server ที่ตรวจสอบ Credential
RADIUS Server
| Solution | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| Microsoft NPS | ฟรี (รวมใน Windows Server) | เชื่อม AD ดี ฟรี | องค์กร Microsoft |
| FreeRADIUS | ฟรี | Open Source ยืดหยุ่น | Linux Admin |
| Cisco ISE | $$$ | ครบสุด NAC + Posture + Profiling | Enterprise Cisco |
| Aruba ClearPass | $$$ | ครบ Multi-vendor | Enterprise |
| PacketFence | ฟรี | Open Source NAC ครบ | งบจำกัด |
Authentication Method
| Method | คำอธิบาย | เหมาะกับ |
|---|---|---|
| EAP-TLS (Certificate) | ใช้ Certificate ยืนยัน ปลอดภัยสุด | Corporate Device |
| PEAP-MSCHAPv2 | ใช้ Username/Password (AD) ง่ายสุด | Corporate Device |
| MAB (MAC Authentication) | ใช้ MAC Address ยืนยัน | Printer, IP Phone, IoT |
| Web Portal | เปิดหน้า Login บน Browser | Guest WiFi |
Dynamic VLAN Assignment
- คืออะไร: RADIUS บอก Switch/AP ว่าอุปกรณ์นี้ควรอยู่ VLAN ไหน
- ตัวอย่าง: พนักงาน IT → VLAN 10, พนักงาน HR → VLAN 20, Guest → VLAN 30
- ข้อดี: พนักงานเสียบสาย LAN ที่ไหนก็ได้ VLAN ตามตัว ไม่ตาม Port
Guest Access
- แยก VLAN: Guest อยู่ VLAN แยก เข้าถึง Internet ได้อย่างเดียว
- Captive Portal: Guest ต้อง Login ผ่าน Web Portal ก่อนใช้งาน
- Self-Registration: Guest ลงทะเบียนเอง ได้รับ Credential ชั่วคราว
- Sponsor: พนักงานอนุมัติ Guest เข้าใช้ Network
- Time Limit: Guest มีเวลาใช้งานจำกัด เช่น 1 วัน
วิธี Deploy NAC
- RADIUS Server: ติดตั้ง RADIUS Server (NPS/FreeRADIUS)
- Switch/AP: ตั้งค่า 802.1X บน Switch/AP ชี้ไป RADIUS
- Monitor Mode: เริ่มจาก Monitor Mode ดู Log ก่อน
- Pilot: เปิด 802.1X บน VLAN/อาคาร 1 แห่งก่อน
- MAB: ตั้ง MAB สำหรับอุปกรณ์ที่ไม่รองรับ 802.1X
- Guest Portal: ตั้ง Guest Portal สำหรับ Guest WiFi
- Rollout: ขยายไปทุก Switch/AP ทั้งองค์กร
NAC Best Practices
- Monitor ก่อน Enforce: เริ่ม Monitor 2-4 สัปดาห์ ดูว่าอุปกรณ์ไหนไม่ผ่าน
- MAB Fallback: ตั้ง MAB Fallback สำหรับอุปกรณ์ที่ไม่รองรับ 802.1X
- Guest แยก: Guest อยู่ VLAN แยก เข้าถึง Internet อย่างเดียว
- Certificate: ใช้ EAP-TLS Certificate ถ้าได้ ปลอดภัยสุด
- Dynamic VLAN: ใช้ Dynamic VLAN Assignment ยืดหยุ่น
- ทดสอบ: ทดสอบทุก Scenario ก่อน Deploy จริง
สรุป NAC 802.1X — ควบคุมว่าใครเข้า Network
NAC เป็นสิ่งจำเป็นสำหรับองค์กร ใช้ 802.1X + RADIUS ควบคุมการเข้าถึง Network แยก Guest เริ่ม Monitor ก่อน Deploy หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
