ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA ĐIỆN – ĐIỆN TỬ
BỘ MÔN VIỄN THÔNG
LUẬN VĂN TỐT NGHIỆP
TÌM HIỂU VỀ NETWORK ACCESS CONTROL
VÀ ỨNG DỤNG FREENAC
GVHD: TS. LƯU THANH TRÀ
SVTH: NGUYỄN XUÂN THẮNG
MSSV: 40702267
Tp HCM, Tháng 6/2012
1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Thành phố Hồ Chí Minh Độc Lập – Tự Do – Hạnh Phúc
     
Số:______/BKĐT
Khoa: Điện – Điện tử
Bộ Môn: Viễn Thông
NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP
Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267
Ngành: VIỄN THÔNG LỚP: DD07DV3
1. Đầu đề luận văn: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC”
2. Nhiệm vụ ( Yêu cầu về nội dung và số liệu ban đầu):

3. Ngày giao nhiệm vụ luận văn:
4. Ngày hoàn thành nhiệm vụ:
5. Họ và tên người hướng dẫn: Phần hướng dẫn

- Số bản vẽ tay - Số bản vẽ trên máy tính
5. Những ưu điểm chính của LVTN:
6. Những thiếu sót chính của LVTN:
7. Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ ,
Không được bảo vệ .
8. 3 câu hỏi sinh viên trả lời trước Hội Đồng:
a)
b)
c)
9. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm …………………….
Ký tên (ghi rõ họ tên)
TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA ĐIỆN – ĐIỆN TỬ Độc Lập – Tự Do – Hạnh Phúc
o0o
Ngày tháng năm 201…
PHIẾU CHẤM BẢO VỆ LVTN
(Dành cho người phản biện)
Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267
Ngành: VIỄN THÔNG LỚP: DD07DV3
10. Đề tài: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC”
11. Họ tên người phản biện:
12. Tổng quát về bản thuyết minh:
Số trang Số chương
Số bảng số liệu Số hình vẽ

em tích lũy thêm kinh nghiệm.
Bên cạnh đó, con cũng chân thành cảm ơn sự động viên và sự hỗ trợ của gia đình và cha
mẹ trong suốt thời gian học tập. Đặc biệt, con xin gửi lời cảm ơn trân trọng nhất đến cha mẹ,
người đã sinh ra và nuôi dưỡng con nên người. Sự quan tâm, lo lắng và hy sinh lớn lao của cha
mẹ luôn là động lực cho con cố gắng phấn đấu trên con đường học tập của mình. Một lần nữa,
con xin gửi đến cha mẹ lòng biết ơn sâu sắc nhất.
Cuối cùng, tôi xin cảm ơn sự hỗ trợ và giúp đỡ của bạn bè trong thời gian học tập tại
Trường Đại Học Bách Khoa và trong quá trình hoàn trình hoàn thành Luận Văn Tốt Nghiệp này.
Hồ Chí Minh, ngày 13 tháng 6 năm 2012
NGUYỄN XUÂN THẮNG
5
TÓM TẮT LUẬN VĂN
Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và
virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết
hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạ
tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.
Trong khuôn khổ luận văn, em xin tập trung vào việc tìm hiểu Network Access Control
(Kiểm soát truy cập mạng) và ứng dụng FreeNAC. Các hãng lớn như Cisco, Juniper,
ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêng
mình. Nhưng đối với Việt Nam thì các sản phẩm này vẫn rất đắt tiền. Vì thế một ứng dụng mã
nguồn mở như FreeNAC là thực sự đáng xem xét.
Sinh viên thực hiện
NGUYỄN XUÂN THẮNG
6
MỤC LỤC
Đề mục Trang
Trang bìa i
Nhiệm vụ luận văn
Lời cảm ơn ii
Tóm tắt luận văn iii

CHƯƠNG 8
Hình 8.1: Mô hình thực nghiệm 53
Hình 8.2: Chỉnh sửa file vmps.xml 58
Hình 8.3: Trạng thái các port trên Switch 59
Hình 8.4: Cấu hình VLAN trên VMPS Server 59
Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định 60
8
DANH MỤC TỪ VIẾT TẮT
A
ACS Access Control Server
AR Access Request
C
CRM Customer Relationship Management
CTA Cisco Trust Agent
D
DHCP Dynamic Host Configuration Protocol
E
EAP Extensible authentication Protocol
G
GUI Graphical User Interface
H
HRA Health Registration Authority
I
IEC International Electrotechnical Commission
IEEE Institute of Electrical and ElectronicsEngineers
IF-IMV
IMC Integrity Measurement Collectors
IMV Integrity Measurement Verifier
IP Internet Protocol
IPSec Internet Protocol Security

SSL Secure Sockets Layer
SSL VPN Secure Sockets Layer Virtual Private Network
T
TCG Trusted Computing Group
TLS Transport Layer Security
TNC Trusted Network Connect
TNCC Trusted Network Connect Client
TNCS Trusted Network Connect Server
U
UDP User Datagram Protocol
V
VLAN Virtual Local Area Network
VMPS VLAN Management Policy Server
VPN Virtual Private Network
10
VQP Query Protocol
W
WG Work Group
WSUS Windows Server Update Services
11
PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG
Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết các
doanh nghiệp, công ty. Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môi
trường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâm
của người quản lý. Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảo
vấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưa
vào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng.
Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm sao
kiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máy
tính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng được

PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL
Chương 1: Tổng quan về NAC
Chương 2: Một số loại giải pháp NAC
Chương 3: Chu trình hoạt động của NAC
Chương 4: Viết chính sách bảo mật cho tổ chức
Chương 5: Mười bước hoạch định việc triển khai NAC
Chương 6: Tìm hiểu một số kiến trúc NAC
PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL
Chương 7: Tổng quan về FreeNAC
Chương 8: Mô hình và thực nghiệm
Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài. Em rất mong
nhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn.
Sinh viên thực hiện
Nguyễn Xuân Thắng
13
PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC)
CHƯƠNG 1: TỔNG QUAN VỀ NAC
1.1. Khái niệm NAC và nhiệm vụ của NAC
NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng). Việc định
nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thành
phần khác nhau. Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họ
hoặc lý do tại sao họ muốn triển khai NAC. Và khái niệm kiểm soát truy cập mạng có thể bao
gồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạng
khác nhau hay các phòng ban khác nhau trong tổ chức. Khi so sánh các thành phần của NAC
trong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó.
1.1.1. Tính toàn vẹn của thiết bị đầu cuối
Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểm
tra, đánh giá tính toàn vẹn thiết bị đầu cuối. Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứng
được các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập.
1.1.2. Chính sách

bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết bị đầu cuối có thể kết nối vào mạng. Loại
kiểm tra này thường được gọi là Pre-admission (kiểm tra trước). Tuy nhiên, một số giải pháp
NAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập
mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau). Khi sử dụng post-admission,
một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra
tính toàn vẹn của thiết bị đầu cuối.
1.2. Lý do cần triển khai Network Access Control (NAC)
NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao
việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinh
doanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát
15
hoặc giới hạn truy cập mạng. Ngoài ra, số lượng người sử dụng mạng, thông tin mà họ sử dụng,
và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần.
Ta cần triển khai NAC vì nhiều lý do:
• Một số lý do mang tính tích cực
- Tăng trưởng trong kinh doanh
- Năng suất
- Công nghệ
• Một số lý do mang tính tiêu cực
- Hackers
- Sự mất cắp thông tin
- Nhận dạng kẻ trộm
Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép có thể truy
cập mạng. Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bị
giới hạn. Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như là
việc cập nhật hệ điều hành Window hay các bản phần mềm chống virus. Ngoài ra NAC có thể
thực hiện việc giám sát hoạt động của các thiết bị đầu cuối.
16
CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC
2.1. Các loại giải pháp NAC

• Giải pháp Out-of-band thường giúp cân bằng mạng dễ dàng hơn và nhanh chóng hơn so
với các giải pháp NAC Inline.
• Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi vì chúng
không ở trong lưu lượng mạng, không giống như các giải pháp Inline.
• Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc
cơ sở hạ tầng bảo mật.
2.1.2. Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based)
Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó.
Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một
số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC, chẳng hạn như 802.1X, DHCP
(Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), hoặc các tiêu chuẩn
khác.
Một số chú ý khi triển các giải pháp này:
• Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung – ví dụ như một
thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách.
• Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứng
được khả năng hoạt động cơ bản của nó. Nó không phải chỉ để phục vụ cho NAC.
2.1.3. Dựa trên máy chủ/máy khách (Client or host-based)
Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máy
khách (Client/host-based). Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng,
cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác. Trong nhiều trường hợp, giải pháp này yêu cầu
một máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập.
Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính là người quản
trị phải triển khai nó đến tận các thiết bị đầu cuối. Ngoài ra còn gặp khó khăn nếu thiết bị đầu
cuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này.
Giải pháp này có thể mô tả như hình 2.3 dưới đây
19
Hình 2.3: Client/host-based
2.1.4. Giải pháp Clientless
Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng.

Hình 2.5: NAC Layer 3
2.2. Cách chọn giải pháp NAC phù hợp
 Cần nghiên cứu và trả lời các câu hỏi sau trước khi quyết định lựa chọn giải pháp, nhà
cung cấp, sản phẩm cho phù hớp với mục đích
• Sau khi xác định có nhu cầu về NAC, cần phải xác định ngân sách để triển khai: Tổ chức
có thể tận dụng cơ sở hạ tầng hiện có, phần mềm an ninh đầu cuối hiện có,…với nỗ lực tối
đa hóa hiệu quả, duy trì chi phí, và bảo vệ các khoản đầu tư mạng hiện có. Nếu chi phí là
một vấn đề quan trọng hơn, và khả năng mở rộng và hiệu suất không phải là quan trọng,
22
tổ chức có thể xem xét việc thực hiện một số loại giải pháp NAC, chẳng hạn như giải
pháp NAC Inline có thể cung cấp một máy chủ và một điểm thực thi chính sách trong
thiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/host-
based.
• Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâm
trọng yếu của tổ chức hay không. Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chức
thì nên chọn giải pháp Out-of-band thực hiện ở Layer 2 và Layer 3.
• Nếu tổ chức có nhiều khách hàng đăng nhập thì nên nghiên cứu giải pháp Clientless NAC.
• Xác định xem có phải điều tổ chức lo lắng nhất là tìm cách không cho những người nguy
hiểm truy cập vào mạng và tiếp cận nguồn tài nguyên và thông tin quý giá hay không. Để
giải quyết vấn đề này, có thể xem xét các giải pháp NAC có hỗ trợ xác thực hai hay nhiều
trường.
• Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thì
cần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng. Điều này giúp cho
việc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tài
nguyên đúng với quyền hạn của mình.
 Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sau
đây:
• Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị.
• Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị.
• Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tập

• Nhận dạng máy và người sử dụng
• Tình trạng bảo mật của máy
Hình 3.2: Bước xác định
3.1.1. Nhận dạng máy và người sử dụng
Biết được những ai đang truy cập vào mạng là một lợi thế quan trọng của việc triển khai
NAC. Trong môi trường ngày nay, nhiều người sử dụng điện thoại di động, các bên thứ ba có
thẩm quyền, và dùng các thiết bị phi tiêu chuẩn làm cho việc xác định chính xác ai đang truy cập
tài nguyên doanh nghiệp khó khăn hơn. NAC cho phép:
• Xác định ai đang truy cập và sử dụng thiết bị nào
• Liên kết thông tin đó với chính sách cụ thể về việc truy cập của người dùng
Khi một người sử dụng đầu tiên truy cập vào mạng công ty, hệ thống NAC xác thực
người dùng đó. Một hệ thống NAC có thể nhắc người sử dụng xác thực bằng nhiều cách:
• Nếu người dùng là một nhân viên sử dụng tài sản thuộc sở hữu công ty, tài sản đó đã cài
đặt phần mềm NAC vào biểu tượng tiêu chuẩn của công ty.
• Nếu người dùng là khách hoặc đối tác, vào mạng trong một thời gian ngắn mà không cần
cho một phần mềm cài đặt vĩnh viễn, trình duyệt web của máy tính có thể hoạt động như
máy khách, chuyển hướng người dùng đến một cổng thông tin (captive portal) để xác
thực.
25