Home » Network Access Control (NAC): 802.1X, MAB และ Profiling
Network Access Control (NAC): 802.1X, MAB และ Profiling
Network Access Control (NAC): 802.1X, MAB และ Profiling
Network Access Control (NAC) เป็นระบบที่ควบคุมว่า device ไหนสามารถเชื่อมต่อ network ได้ โดยตรวจสอบ identity (ใครเชื่อมต่อ) และ posture (device ปลอดภัยหรือไม่) ก่อนให้ access NAC ใช้ 802.1X เป็น primary method สำหรับ authentication ร่วมกับ MAB สำหรับ devices ที่ไม่รองรับ 802.1X
หลายองค์กร ให้ทุก device เชื่อมต่อ network ได้อย่างอิสระ ทำให้ rogue devices, unpatched machines หรือ unauthorized users เข้าถึง sensitive resources ได้ NAC ช่วยแก้ปัญหานี้โดย enforce authentication + authorization + posture assessment ก่อนให้ network access
NAC Components
| Component |
บทบาท |
ตัวอย่าง |
| Supplicant |
Software บน endpoint ที่ส่ง credentials |
Windows native, AnyConnect NAM |
| Authenticator |
Switch/AP ที่ enforce access control |
Cisco switch (dot1x), Aruba AP |
| Authentication Server |
RADIUS server ที่ตรวจสอบ credentials |
Cisco ISE, Aruba ClearPass, FreeRADIUS |
| Directory |
Identity store (user/computer accounts) |
Active Directory, LDAP |
| Policy Engine |
กำหนด authorization policy (VLAN, ACL, SGT) |
ISE policy sets, ClearPass rules |
Authentication Methods
| Method |
วิธีทำงาน |
ใช้กับ |
| 802.1X |
EAP-based authentication (username/password หรือ certificate) |
Managed devices (laptops, desktops) |
| MAB (MAC Auth Bypass) |
ใช้ MAC address เป็น identity |
Devices ไม่รองรับ 802.1X (printers, IP phones, IoT) |
| Web Authentication |
Redirect ไป captive portal ให้ login |
Guest access, BYOD |
802.1X EAP Methods
| EAP Method |
Authentication |
Security |
ใช้กับ |
| EAP-TLS |
Client + server certificate (mutual TLS) |
สูงสุด |
Managed devices ที่มี certificate |
| PEAP (MSCHAPv2) |
Server cert + username/password |
สูง |
Windows domain devices (most common) |
| EAP-TTLS |
Server cert + inner method |
สูง |
Multi-platform (Linux, macOS) |
| EAP-FAST |
PAC (Protected Access Credential) |
สูง |
Cisco environments |
| TEAP |
Modern (RFC 7170) replaces PEAP/EAP-FAST |
สูงสุด |
Next-gen 802.1X |
Authentication Flow
| Step |
Action |
| 1. Link Up |
Device เชื่อมต่อ switch port |
| 2. 802.1X Attempt |
Switch ส่ง EAP-Request/Identity → supplicant ตอบ |
| 3. EAP Exchange |
Supplicant ↔ RADIUS server ผ่าน switch (EAP tunnel) |
| 4. RADIUS Decision |
RADIUS server ตรวจ credentials → Accept/Reject |
| 5. Authorization |
RADIUS ส่ง attributes กลับ (VLAN, ACL, SGT) |
| 6. Port Authorized |
Switch apply authorization → device ได้ access |
MAB Fallback
| Step |
Action |
| 1. 802.1X timeout |
Device ไม่ตอบ EAP-Request (ไม่มี supplicant) |
| 2. MAB trigger |
Switch ส่ง MAC address ไป RADIUS เป็น username/password |
| 3. MAC lookup |
RADIUS ตรวจ MAC ใน database → match/no match |
| 4. Authorization |
Known MAC → assign VLAN/ACL / Unknown → guest VLAN หรือ deny |
Device Profiling
| Method |
ข้อมูลที่ใช้ |
ตัวอย่าง |
| DHCP Fingerprint |
DHCP options (option 55, hostname) |
Windows vs iPhone vs printer |
| HTTP User-Agent |
HTTP header |
Browser/OS identification |
| CDP/LLDP |
Device advertisements |
Cisco IP Phone, switch |
| SNMP Query |
Device MIB data |
sysDescr, sysObjectID |
| NetFlow/NBAR |
Traffic patterns |
IoT device behavior |
| MAC OUI |
First 3 bytes of MAC |
Vendor identification (Apple, HP, etc.) |
Authorization Results
| Result |
วิธีทำงาน |
| VLAN Assignment |
RADIUS ส่ง VLAN ID → switch assign device ไป VLAN นั้น |
| dACL (Downloadable ACL) |
RADIUS ส่ง ACL → switch apply ACL บน port |
| SGT (Security Group Tag) |
Assign SGT → enforce policy ด้วย TrustSec |
| URL Redirect |
Redirect ไป captive portal (web auth, posture) |
| Deny |
ไม่ให้ access (port remain unauthorized) |
NAC Solutions
| Solution |
Vendor |
จุดเด่น |
| Cisco ISE |
Cisco |
Market leader, TrustSec/SGT, pxGrid |
| Aruba ClearPass |
HPE Aruba |
Multi-vendor, strong profiling, BYOD |
| Forescout |
Forescout |
Agentless, IoT focused, multi-vendor |
| PacketFence |
Open-source |
Free, 802.1X + captive portal |
| Portnox |
Portnox |
Cloud-native NAC, easy deployment |
Deployment Best Practices
| Practice |
รายละเอียด |
| Monitor mode ก่อน |
เริ่มด้วย monitor mode (log ไม่ block) เพื่อดู devices ทั้งหมด |
| Low-impact mode |
ใช้ open mode + dACL (ให้ access แต่ log) |
| Phased rollout |
Deploy ทีละ building/floor ไม่ใช่ทั้ง network พร้อมกัน |
| MAB สำหรับ IoT |
Pre-register MAC addresses ของ printers, phones, IoT |
| Guest portal |
Web auth สำหรับ guests ที่ไม่มี credentials |
| Profiling |
Enable profiling เพื่อ auto-classify devices |
ทิ้งท้าย: NAC = Who + What + Where = Access
NAC ควบคุม network access ด้วย 802.1X + MAB + profiling 802.1X = primary (managed devices), MAB = fallback (IoT/printers) Profiling = auto-identify devices (DHCP, CDP, HTTP) Authorization = VLAN + ACL + SGT ตาม identity + device type Deploy แบบ phased: monitor → low-impact → closed mode
อ่านเพิ่มเติมเกี่ยวกับ 802.1X Authentication และ Zero Trust Network ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
