Network Access Control: ใช้ 802.1X ป้องกันอุปกรณ์แปลกปลอม
802.1X เป็น IEEE standard สำหรับ port-based network access control ป้องกันไม่ให้อุปกรณ์ที่ไม่ได้รับอนุญาตเชื่อมต่อเข้า network ได้ ก่อนที่อุปกรณ์จะใช้ network ได้ต้องผ่านการ authenticate ก่อน ถ้า authenticate ไม่ผ่าน port จะถูก block หรือถูกย้ายไป guest VLAN
ในองค์กรที่ไม่มี 802.1X ใครก็ได้ที่เสียบสาย LAN เข้า wall outlet ก็เข้า network ได้ทันที แม้จะเป็นคนนอกหรืออุปกรณ์ที่ไม่ได้รับอนุญาต นี่คือช่องโหว่ security ที่ร้ายแรง 802.1X แก้ปัญหานี้โดยบังคับให้ทุกอุปกรณ์ต้อง authenticate ก่อน บทความนี้จะอธิบายวิธีการทำงานและการ deploy 802.1X
802.1X Components
| Component | ชื่อ | หน้าที่ | ตัวอย่าง |
|---|---|---|---|
| Supplicant | Client | อุปกรณ์ที่ต้องการเข้า network | PC, Laptop, IP Phone |
| Authenticator | Switch | ควบคุม port access ตามผล authentication | Cisco Switch, Aruba Switch |
| Authentication Server | RADIUS Server | ตรวจสอบ credentials | Cisco ISE, FreeRADIUS, NPS |
กระบวนการ Authentication
ขั้นตอน: Client เสียบสาย LAN → Switch ส่ง EAP Request Identity → Client ตอบด้วย credentials → Switch forward ไป RADIUS server → RADIUS ตรวจสอบ (AD, LDAP, certificate) → RADIUS ตอบ Accept/Reject → Switch เปิด/ปิด port ตามผล ถ้า Accept: port เปิดให้ใช้งาน อาจ assign VLAN ตามผล (dynamic VLAN assignment) ถ้า Reject: port ยังถูก block หรือย้ายไป guest VLAN
EAP Methods
| EAP Method | Authentication | ความปลอดภัย | เหมาะกับ |
|---|---|---|---|
| EAP-TLS | Certificate ทั้ง 2 ฝั่ง | สูงสุด | Enterprise ที่มี PKI |
| PEAP (MSCHAPv2) | Server cert + Username/Password | สูง | AD environments (นิยมที่สุด) |
| EAP-TTLS | Server cert + Username/Password | สูง | Linux/Mac environments |
| MAB | MAC Address | ต่ำ | อุปกรณ์ที่ไม่รองรับ 802.1X (printers, CCTV) |
ตั้งค่า 802.1X บน Cisco Switch
Global Configuration
เปิด AAA (Authentication, Authorization, Accounting) กำหนด RADIUS server (IP, shared secret) เปิด dot1x system-auth-control กำหนด authentication method list
Interface Configuration
บน access port ที่ต้องการ 802.1X กำหนด authentication port-control auto (port เริ่มจาก unauthorized จนกว่าจะ authenticate สำเร็จ) กำหนด dot1x pae authenticator เปิด authentication order dot1x mab (ลอง 802.1X ก่อน ถ้าไม่รองรับจะ fallback ไป MAB) กำหนด authentication event fail action authorize vlan [guest_vlan] (ถ้า fail ให้ไป guest VLAN)
Dynamic VLAN Assignment
ทำงานอย่างไร
RADIUS server สามารถส่ง VLAN attributes กลับมาพร้อม Accept message switch จะ assign port ไปยัง VLAN ที่ RADIUS กำหนด ตัวอย่าง: IT staff authenticate → RADIUS ส่ง VLAN 20 (IT VLAN) HR staff authenticate → RADIUS ส่ง VLAN 30 (HR VLAN) Guest authenticate → RADIUS ส่ง VLAN 70 (Guest VLAN) ทุกคนใช้ wall outlet เดียวกันได้ switch จะ assign VLAN ตาม identity
MAB สำหรับอุปกรณ์ที่ไม่รองรับ 802.1X
Printers, CCTV, IoT
อุปกรณ์เช่น printers, IP cameras, IoT sensors ไม่มี 802.1X supplicant ใช้ MAB (MAC Authentication Bypass) แทน switch ส่ง MAC address ของอุปกรณ์ไป RADIUS RADIUS ตรวจสอบว่า MAC address อยู่ใน whitelist หรือไม่ ถ้าใช่ → authorize + assign VLAN ที่เหมาะสม ข้อจำกัด: MAC address สามารถ spoof ได้ ไม่ปลอดภัยเท่า 802.1X
RADIUS Server Options
| RADIUS Server | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| Cisco ISE | แพงมาก | Feature ครบ posture assessment profiling | Enterprise ที่ใช้ Cisco |
| Aruba ClearPass | แพง | Multi-vendor profiling guest portal | Enterprise multi-vendor |
| Microsoft NPS | ฟรี (มากับ Windows Server) | AD integration ดี | SME ที่ใช้ AD |
| FreeRADIUS | ฟรี (open-source) | Flexible customizable | Linux shops budget จำกัด |
802.1X Deployment Best Practices
Deploy แบบ Phased
อย่า deploy 802.1X enforce mode ทั่ว network ทีเดียว Phase 1: Monitor mode (เก็บ log ว่าอุปกรณ์ไหน authenticate สำเร็จ/ไม่สำเร็จ) Phase 2: Low-impact mode (fail → guest VLAN แทน block) Phase 3: Closed mode (fail → block) ให้เวลา 2-4 สัปดาห์ต่อ phase เพื่อหาและแก้ปัญหา
จัดการ Exceptions
ก่อน deploy สำรวจอุปกรณ์ที่ไม่รองรับ 802.1X ทั้งหมด ลง MAC address ใน RADIUS whitelist สำหรับ MAB กำหนด VLAN ที่เหมาะสมสำหรับแต่ละประเภทอุปกรณ์ มี process สำหรับเพิ่มอุปกรณ์ใหม่ (request form → IT approve → add to RADIUS)
ทิ้งท้าย: 802.1X คือ First Line of Defense
802.1X เป็น security layer แรกที่ป้องกันอุปกรณ์แปลกปลอมเข้า network ใช้ PEAP สำหรับ AD environments ใช้ MAB สำหรับอุปกรณ์ที่ไม่รองรับ deploy แบบ phased จาก monitor → low-impact → closed ใช้ dynamic VLAN assignment เพิ่มความยืดหยุ่น
อ่านเพิ่มเติมเกี่ยวกับ DHCP Snooping และ Network Security ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
