กลับมาอีกครั้งครับหลังจากไม่ได้เขียนมานาน กับ Series 2010 IT Trends ในตอนแรกสุด 10Gb Ethernet กับตอนที่ 2 Enterprise Wireless 802.11n คราวนี้ก็ได้เวลาของเทคโนโลยีตัวที่ 3 แล้วครับ ที่ถือว่ามาแรงที่สุด ณ เวลานี้เลยในประเทศไทย Network Access Control หรือเรียกสั้นๆ กันว่า NAC นั่นเอง!
ว่าแต่ว่าแล้ว NAC มันคืออะไร? NAC เป็นคอนเซ็ปต์ทางเน็ตเวิร์คอันนึงครับ ที่ทำหน้าที่ตรงกับชื่อมันเลยคือ “ควบคุมการเข้าถึงระบบเครือข่าย” ไม่ว่าจะเป็นการกำหนดสิทธิ์ในการเข้าถึงข้อมูลต่างๆ, การกำหนดสิทธิ์ในการใช้โปรโตคอลต่างๆ, การกำหนดระดับความปลอดภัยของคอมพิวเตอร์ก่อนเข้าใช้งานระบบเครือข่าย ฯลฯ นั่นเอง
แล้วทำไมมันถึงดัง? ก่อนหน้านี้ถ้าเป็นประเด็นเกี่ยวกับความปลอดภัยที่นิยมกัน คือเรื่องเกี่ยวกับนโยบายความปลอดภัยทางคอมพิวเตอร์ ที่หลายๆ องค์กรนิยมเขียนและประกาศกันขึ้นมา แต่ไม่สามารถบังคับใช้จริงๆ จังๆ ได้ซักที ยกตัวอย่างเช่น พนักงานห้ามนำอุปกรณ์ภายนอกเข้ามาใช้งานในองค์กร, คอมพิวเตอร์แต่ละเครื่องต้องอัพเดต Patch และ Anti-virus ก่อนนำไปใช้งาน บลาๆ ซึ่งสุดท้ายจบลงด้วยการใช้เวลา Admin ทุกคนจนหมดทีม และสุดท้ายก็เลิกทำไป
เจ้าตัว NAC จึงถูกสร้างขึ้นมาเป็น Network Appliance สำหรับทำงานนี้โดยเฉพาะ และมีความสามารถโดยรวมดังนี้
1. ค้นหาและรวบรวมอุปกรณ์เน็ตเวิร์คทุกชนิดในระบบ และนำมาแสดงผล เพื่อให้แอดมินมีชีวิตที่ดีขึ้น มอนิเตอร์ระบบได้แบบ Real Time
2. ทำ Pre-NAC คือตรวจสอบเครื่องแต่ละเครื่องตามนโยบายความปลอดภัยต่างๆ เช่น การทำการยืนยันตัวตน, การเช็ค Anti-Virus, การเช็ค Firewall, การเช็ค Patch ต่างๆ ซึ่งถ้าไม่ผ่านก็จะไม่มีสิทธิ์ใช้งานระบบเครือข่าย หรือใช้ได้จำกัด
3. ทำ Post-NAC คือตรวจสอบซ้ำตลอดเวลาว่ามีอะไรผิดแปลกไปรึเปล่า เช่น ส่ง Packet หน้าตาประหลาด คลับคล้ายคลับคลาว่าจะติดไวรัส, รัน App ประหลาดๆ ที่ไม่อนุญาต ฯลฯ
จริงๆ เส้นแบ่งระหว่าง Pre-NAC กับ Post-NAC ก็ไม่ค่อยมีหรอกครับ แล้วแต่คนจะนิยามโก้ๆ เก๋ๆ ไปงั้นแหละ
คราวนี้มาถึงประเด็นสำคัญครับ เนื่องจาก NAC มันเป็นอุปกรณ์ที่ไม่ได้มี Standard อะไรของตัวมันเองเลย ถ้าเป็นพวกอุปกรณ์ Switch/Routing หรือ Wireless หรือ IPS นี่มันยังมี Standard มารองรับ แต่ของ NAC นี่จะออกแนวอุปกรณ์สารพัดประโยชน์เพื่อชีวิตของแอดมิน ทำให้มันไม่มีมาตรฐานใดๆ ตายตัวทั้งนั้น ดังนั้นสิ่งที่ทุกคนควรจะรู้ก่อนจะจัดซื้อก็คือ “มันทำงานกับระบบเครือข่ายของเราที่มีอยู่แล้วได้รึเปล่า?”
ซึ่งแน่นอนครับ ในบล๊อกที่ผมจะเขียนหน้านี้ จุดประสงค์ก็เพื่อให้ทุกท่านได้รู้และเข้าใจวิธีการทำงานของ NAC ในแบบต่างๆ กัน เพื่อที่ว่าจะได้รู้ข้อดีข้อเสียของแต่ละแบบ และนำไปปรับปรุงให้เข้ากับระบบของตัวเองได้ครับ 
คราวนี้ต้องเกริ่นกันก่อน ว่า NAC ในโลกนี้ แบ่งออกได้เป็น 2 พวกกว้างๆ คือ
1. Inline NAC เป็นอุปกรณ์ที่ติดตั้งแบบวางขวางเน็ตเวิร์คเลย เหมือนพวก Firewall กับ IPS และจะคอยประมวลผล Packets ที่วิ่งผ่านมัน ว่าควรจะ drop/forward/redirect ดี ซึ่งปัจจุบัน NAC แบบนี้มักจะไม่ค่อยมีคนซื้อกัน เพราะถ้า NAC มันล่มเมื่อไหร่ ระบบเน็ตเวิร์คก็เน่าไปทันทีเมื่อนั้น ยกเว้นว่าจะไปถอดสายมาเสียบแบบ Bypass หรือซื้อ Hardware Bypass หรือซื้อมา 2 ตัว ทำ Redundant มันซะเลย
2. Out-of-Band NAC เป็นอุปกรณ์ที่ติดตั้งแบบไม่วางขวาง เพราะมันเกิดมาเพื่อที่ว่าเวลาตัวมันล่มไปเน็ตเวิร์คจะได้ไม่เน่า แต่กลับกลายเป็นว่าแทบทุกยี่ห้อบนโลกนี้ไม่ผ่านโจทย์ข้อนี้ คือต่อให้เป็น Out-of-Band ก็ยังล่มได้ เนื่องจากกระบวนการการทำงานของมันนั่นเอง ซึ่งวันนี้ผมจะมาตีแผ่ตรงจุดนี้โดยเฉพาะครับ
โดยสำหรับ Out-of-Band NAC นี้ ผมว่าทุกคนคงกำลังสงสัยอยู่ว่า “แล้วมันจะไป drop traffic คนอื่นเค้าได้ยังไง?” คำตอบของโจทย์ข้อนี้มีหลากหลายครับ แล้วแต่ยี่ห้อไหนจะคิดอ่านยังไง และเอาวิธีไหนไปใช้ ซึ่งวันนี้ผมจะเล่าทุกวิธีให้ท่านฟังอย่างละเอียดเลย แต่ผมจะไม่บอกนะครับว่าวิธีไหนเป็นของยี่ห้อไหน เพราะผมไม่อยากให้ Blog ของผมกลายเป็น Blog เพื่อการค้าไปครับ
เริ่มต้นล่ะนะครับสำหรับวิธีการต่างๆ ในการจัดการ traffic ของ Out-of-Band NAC โดยส่วนตัวแล้วผมเห็นว่า NAC ทั้งหมดในตลาดนี้ วิธีการที่ใช้ได้จริงมีอยู่แค่วิธีการเดียว ซึ่งก็เป็นความเห็นส่วนตัวแหละ ถ้าเห็นต่างยังไง คุยกันได้ครับ จะได้แลกเปลี่ยนความคิดเห็นกัน
1. Mirroring and Injection วิธีแรกสุดนี้ผมถือว่าเป็นวิธีที่ดีที่สุดเลยครับ เพราะตัว NAC ส่งผลกระทบต่อระบบเครือข่ายน้อยที่สุด ติดตั้งได้ง่าย และถ้าอุปกรณ์ล่มไป ก็ไม่ทำให้ระบบเครือข่ายล่มได้ โดยหลักการคือทำการ Mirror Packet ออกมาดู และ Inject ยิงให้ Session ที่ไม่ได้รับอนุญาตหยุดทำงานไปครับ
2. Mirroring and Configuration วิธีนี้คือการ Mirror Traffic ออกมาดู แล้วทำการแก้ไขอุปกรณ์เครือข่ายที่ติดอยู่กับคนที่ทำสิ่งที่เราไม่อนุญาต เพื่อยับยั้งพฤติกรรมนั้นๆ ครับ เช่นการ Block Port หรือแก้ ACL ซึ่งถ้าเกิดตัว NAC มันล่มไปจริงๆ สิ่งที่เกิดขึ้นคือพวก Configuration ต่างๆ ของ Switch มันจะไม่กลับมาด้วยนะครับ ยิ่งทำให้แอดมินปวดหัวหนักเลยเพราะต้องไล่แก้ปัญหาที่ NAC ก่อไว้อีก
3. Inline and Configuration วิธีการนี้คล้ายกับวิธีการที่ 2 ครับ แต่ต่างกันว่าในระบบเครือข่ายของเรา เราจะต้องเอา Firewall หรือ Switch ยี่ห้อเดียวกับตัว NAC ไปวางไว้ให้ทั่ว แล้วคอยส่ง Traffic ให้กับ NAC จากนั้นเมื่อ NAC พบว่ามีอะไรผิดปกติ ก็จะไปสั่งแก้ Configuration ของอุปกรณ์นั้นๆ ซึ่งก็พบปัญหาเดียวกันครับ คือ NAC ตาย ระบบล่ม และอันนี้แย่กว่าคือต้องใช้ Brand เดียวกันทั้งระบบเครือข่าย
4. Agentful Software NAC อันนี้เป็น NAC ที่จะไม่ต้องไปยุ่งกับอุปกรณ์เครือข่ายครับ แต่จะทำการเอา Agent ที่ทำตัวเป็น Host Firewall ไปลงไว้ที่เครื่องที่เราต้องการควบคุมเลย เพื่อที่ว่าเวลาพบว่ามีอะไรผิดปกติเกิดขึ้น ก็บล๊อกมันซะตั้งแต่ต้นทาง วิธีนี้เผินๆ เหมือนจะดีนะครับ แต่ในทางปฏิบัติตัว Software มันกินโหลดเครื่องหนักมาก (คิดถึงสภาพการสแกนไวรัสตลอดเวลาขณะทำงาน ประมาณนั้นเลยครับ) แล้วแถมยังควบคุมคนที่เอาอุปกรณ์มาปลั๊กเองในระบบไม่ได้อีกต่างหาก สรุปคือไม่เวิร์คเลยครับวิธีนี้
5. ARP Spoofing and Injection อันนี้เป็นอีกหนึ่ง NAC ที่เหมือนจะมาแรง แล้วก็แผ่วจนถึงดับไป คือลง Software ตัวหนึ่งในทุกๆ จุดของระบบเครือข่าย ซึ่ง Software ตัวนี้จะใช้หลักการในการทำ ARP Spoofing เพื่อ “ทำการโจมตีทุกคนในระบบเครือข่าย” แบบ Man-in-the-Middle แล้วถ้ามี Packet ไหนมีปัญหา ก็ทำการ Drop ทิ้งไป ซึ่งแน่นอนครับ ปัญหาเกิดอย่างร้ายแรงเลย เนื่องจากมีโหลดจากการทำ ARP Spoofing เพิ่มขึ้นมาก และ Traffic ยังต้องวิ่งเพิ่มขึ้นเป็น 2 เท่าอีกต่างหากในทุกๆ ส่วนของระบบเครือข่ายของเรา แต่ที่แย่ที่สุดก็คือ “เราต้องเปิดช่องให้ทุกคนทำ ARP Spoofing ได้!” นั่นรวมถึงพวก Worm/Virus ด้วยนะครับ พอดีผมเพิ่งเจอเคสที่ไวรัสทำ ARP Spoofing จนมีอุปกรณ์ในนั้นพากันตายไปหลายตัว ก็เพิ่งรู้ความร้ายแรงของ ARP Spoofing เหมือนกันครับ – -
ทั้งนี้ผมมักจะพบหลายๆ เคส ที่ทางลูกค้าบางท่านมักจะตัดสินอุปกรณ์เหล่านี้โดยดูจากพวก Feature ว่า สามารถทำนู่นนี่นั่นได้ แล้วจบด้วยการจัดซื้อทันที อันนี้ผมอยากจะติงนิดหน่อยนะครับ ว่าระบบ NAC ที่ใช้วิธีการที่หลากหลายนี้ บางทีเขียน Feature มาดิบดี แต่ Implement แล้วมีปัญหานี่ก็เยอะครับ ดังนั้นระบบที่สำคัญถึงขนาดที่ว่าล่มแล้วเน็ตเวิร์คอาจจะล่มตามไปหมดได้เลยนี่ ผมขอแนะนำให้ทุกท่านทำการ PoC หรือ Prove of Concept คือเรียกไปเทสต์ ไปปลั๊กเข้าระบบจริงเลยก่อนจัดซื้อจะดีกว่าครับ
เพราะถึงแม้ว่าเราจะต้องมาวุ่นวาย ลำบากชีวิตตอนจัดซื้อ แต่สุดท้ายถ้าเราเลือกซื้่อตัวที่เหมาะสมกับองค์กรของเราเองได้ ชีวิตเราจะสบายขึ้นจริงๆ ครับ
สำหรับตอนนี้ก็ขอจบไว้เพียงเท่านี้ก่อนนะครับ ขืนเขียนยาวกว่านี้เดี๋ยวจะไม่มีใครอ่านเอา
สวัสดีครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น