NAC 802.1X คืออะไร? ทำไมองค์กรต้องควบคุมการเข้าถึง Network
NAC (Network Access Control) คือ ระบบควบคุมว่าอุปกรณ์ใดบ้างสามารถเชื่อมต่อเข้า Network ขององค์กรได้ 802.1X เป็นมาตรฐานที่ใช้ยืนยันตัวตนของอุปกรณ์/ผู้ใช้ก่อนอนุญาตให้เข้า Network ถ้าไม่มี NAC ใครก็ได้เสียบสาย LAN หรือเชื่อม WiFi แล้วเข้า Network ได้ทันที อุปกรณ์แปลกปลอม อุปกรณ์ที่มี Malware หรือคนนอกก็เข้ามาได้ NAC ช่วยให้เฉพาะอุปกรณ์ที่ได้รับอนุญาตเท่านั้นที่เข้า Network ได้
802.1X ทำงานอย่างไร
- Supplicant: อุปกรณ์ที่ต้องการเชื่อมต่อ (PC, Laptop, IP Phone)
- Authenticator: Switch หรือ Access Point ที่อุปกรณ์เชื่อมต่อ
- Authentication Server: RADIUS Server ที่ตรวจสอบ Credentials
ขั้นตอน
- อุปกรณ์เสียบสาย LAN หรือเชื่อม WiFi
- Switch/AP ถาม Credentials (Username/Password หรือ Certificate)
- Switch/AP ส่ง Credentials ไปถาม RADIUS Server
- RADIUS ตรวจสอบกับ AD/LDAP → ตอบ Accept หรือ Reject
- Accept → Switch เปิด Port ให้ใช้ Network + กำหนด VLAN ตาม Policy
- Reject → Switch ปิด Port หรือส่งไป Guest VLAN
EAP Methods — วิธียืนยันตัวตน
| EAP Method | วิธีการ | ความปลอดภัย | เหมาะกับ |
|---|---|---|---|
| PEAP-MSCHAPv2 | Username/Password (AD) | สูง | ง่าย ใช้กับ AD ได้เลย |
| EAP-TLS | Client Certificate | สูงมาก | ปลอดภัยที่สุด ต้องมี PKI |
| EAP-TTLS | Username/Password ใน TLS Tunnel | สูง | ทางเลือก PEAP |
| MAB (MAC Auth Bypass) | ใช้ MAC Address แทน | ต่ำ | อุปกรณ์ที่ไม่รองรับ 802.1X เช่น Printer |
RADIUS Server
| RADIUS Server | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| Windows NPS | ฟรี (ในตัว Server) | เชื่อม AD ง่าย ฟรี | องค์กร Windows/AD |
| FreeRADIUS | ฟรี (Open Source) | ยืดหยุ่นมาก รองรับทุกอย่าง | Linux IT ดูแลเอง |
| Cisco ISE | $$$ | NAC ครบวงจร Enterprise | Enterprise Cisco Network |
| Aruba ClearPass | $$$ | NAC ครบวงจร Multi-vendor | Enterprise |
| PacketFence | ฟรี (Open Source) | NAC + RADIUS ครบ ฟรี | SMB ต้องการ NAC ฟรี |
Dynamic VLAN Assignment
- คืออะไร: RADIUS กำหนด VLAN ให้อุปกรณ์โดยอัตโนมัติ ตาม User/Group/Device Type
- ตัวอย่าง: IT Team → VLAN 20, Finance → VLAN 30, Guest → VLAN 50
- ข้อดี: ย้ายโต๊ะไปไหนก็ได้ VLAN ตามตัว ไม่ต้องเปลี่ยน Config Switch
- RADIUS Attributes: Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=30
Guest VLAN และ Auth-Fail VLAN
- Guest VLAN: VLAN สำหรับอุปกรณ์ที่ไม่มี 802.1X Supplicant เข้าได้เฉพาะ Internet
- Auth-Fail VLAN: VLAN สำหรับอุปกรณ์ที่ Login ผิด เข้าได้เฉพาะหน้า Captive Portal
- Critical VLAN: VLAN สำหรับกรณี RADIUS Server ล่ม ให้เข้า Network พื้นฐานได้
NAC สำหรับ WiFi
- WPA2/WPA3-Enterprise: ใช้ 802.1X ยืนยันตัวตนก่อนเชื่อม WiFi ปลอดภัยกว่า PSK
- ข้อดี: แต่ละ User มี Username/Password หรือ Certificate ของตัวเอง
- เมื่อพนักงานลาออก: Disable AD Account ทันที เข้า WiFi ไม่ได้ ไม่ต้องเปลี่ยน Password WiFi ทั้งบริษัท
Posture Assessment
- คืออะไร: ตรวจสอบสุขภาพอุปกรณ์ก่อนอนุญาตให้เข้า Network
- ตรวจสอบ: มี Antivirus ไหม อัปเดตหรือยัง OS Patch ล่าสุดหรือยัง Firewall เปิดไหม
- ถ้าไม่ผ่าน: ส่งไป Remediation VLAN ให้ อัปเดตก่อน แล้วจึงเข้า Network จริง
- เครื่องมือ: Cisco ISE, Aruba ClearPass, FortiNAC
NAC Best Practices
- เริ่มจาก Monitor Mode: เปิด 802.1X แบบ Monitor ก่อน ดูว่าอุปกรณ์ไหนจะมีปัญหา ไม่บล็อกทันที
- MAB สำหรับ Non-802.1X: Printer IP Camera อุปกรณ์ที่ไม่รองรับ 802.1X ใช้ MAB
- RADIUS 2 ตัว: มี RADIUS Server อย่างน้อย 2 ตัว HA ถ้า 1 ล่ม อีกตัวทำงาน
- Critical VLAN: ตั้ง Critical VLAN กรณี RADIUS ล่ม ไม่ให้ Network ทั้งหมดหยุด
- ค่อยๆ Deploy: Deploy ทีละแผนก ทีละอาคาร ไม่ทำทั้งองค์กรพร้อมกัน
- Document: บันทึก VLAN Assignment Policy MAC Whitelist ทั้งหมด
- WiFi Enterprise: ใช้ WPA2/WPA3-Enterprise แทน PSK สำหรับ Corporate WiFi
สรุป NAC 802.1X — ควบคุมว่าใครเข้า Network ได้
NAC 802.1X เป็นมาตรฐานสำคัญสำหรับ Network Security องค์กร ควบคุมอุปกรณ์ที่เข้า Network กำหนด VLAN อัตโนมัติ และป้องกันอุปกรณ์แปลกปลอม เริ่มจาก Monitor Mode ค่อยๆ Deploy หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
