Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN
ĐỀ TÀI
TÌM HIỂU GIẢI PHÁP TRUY CẬP MẠNG
(NETWORK ACCESS CONTROL)
GVHD: BÙI VIỆT THẮNG SVTH: DƯƠNG NHẬT QUÂN
HÀ NỘI, Tháng 12/2018
Trang 2TÓM TẮT BÀI BÁO CÁO
Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu
Trong khuôn khổ bài báo cáo, em xin tập trung vào việc tìm hiểu Network Access Control (Kiểm soát truy cập mạng) Các hãng lớn như Cisco, Juniper, ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêng mình
Sinh viên thực hiện NGUYỄN ĐỨC MẠNH DƯƠNG NHẬT QUÂN
Trang 3MỤC LỤC
Trang bìa i
Tóm tắt bài báo cáo ii
Mục lục iii
Danh sách hình vẽ v
Danh mục từ viết tắt vi
Nội dung báo cáo MỞ ĐẦU: GIỚI THIỆU CHUNG 1
CHƯƠNG 1: TỔNG QUAN VỀ NAC 3
1.1 Khái niệm NAC và nhiệm vụ của NAC 3
1.1.1 Tính toàn vẹn của thiết bị đầu cuối 3
1.1.2 Chính sách 3
1.1.3 Kiểm tra đánh giá 4
1.1.4 Mở rộng đánh giá kiểm tra 4
1.1.5 Kiểm tra trước hay sau khi cho phép 5
1.2 Lý do cần triển khai Network Access Control (NAC) 5
CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 7
2.1 Các loại giải pháp NAC 7
2.1.1 Dựa trên thiết bị (Appliance-based) 7
2.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network equipment-based) 10 2.1.3 Dựa trên máy chủ/máy khách (Client or host-based) 10
2.1.4 Giải pháp Clientless 11
2.1.5 NAC Layer 2 12
2.1.6 NAC Layer 3 13
CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC 17
Trang 43.1 Bước xác định (Assess) 18
3.1.1 Nhận dạng máy và người sử dụng 18
3.1.2 Tình trạng bảo mật của máy 19
3.2 Bước đánh giá (evaluate) 20
3.3 Bước khắc phục lỗi (Remediation) 21
3.4 Bước thực thi (enforce) 23
3.5 Bước giám sát (Monitor) 24
CHƯƠNG 4: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC 27
4.1 Cisco Network Admission Control (Cisco NAC) 27
4.2 Microsoft Network Access Protection (NAP) 29
4.3 Trusted Network Connect (TNC) 32
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37
TÀI LIỆU THAM KHẢO 38
Trang 5DANH SÁCH HÌNH VẼ
CHƯƠNG 2
Hình 2.1: Mô hình Inline 6
Hình 2.2: Mô hình Out-of-band 7
Hình 2.3: Client/host-based 9
Hình 2.4: NAC Layer 2 10
Hình 2.5: NAC Layer 3 11
CHƯƠNG 3 Hình 3.1: Các bước cơ bản để triển khai NAC 13
Hình 3.2: Bước xác định 14
Hình 3.3: Bước đánh giá 16
Hình 3.4: Bước khắc phục lỗi 17
Hình 3.5: Bước thực thi 18
Hình 3.6: Bước giám sát 19
CHƯƠNG 4 Hình 4.1: Mô hình kết nối cơ bản của Cisco NAC 38
Hình 4.2: Mô hình tổng quát của hệ thống Microsoft NAP 40
Hình 4.3: Hạ tầng của TNC 44
Hình 4.4: Hoạt động của TNC 44
Trang 6CRM Customer Relationship Management
CTA Cisco Trust Agent
IMC Integrity Measurement Collectors
IMV Integrity Measurement Verifier
IP Internet Protocol
IPSec Internet Protocol Security
IPv4 Internet Protocol version 4
ISO International Organization for Standardization
IT Information Technology
L
LDAP Lightweight Directory Access Protocol
M
Trang 7MAC Media access control
N
NAA Network Access Authority
NAC Network Access Control
NAD Network Access Device
NAP Network Access Protection
NAR Network Access Request
NPS Network Policy Server
PDA Personal Digital Assistant
PDP Policy Decision Point
PEAP Protected Authentication Protocol
PEP Policy Enforcement Point
R
RFP Request For Proposal
S
SHA System Health Agents
SNMP Simple Network Management Protocol
SSL Secure Sockets Layer
SSL VPN Secure Sockets Layer Virtual Private Network
T
TCG Trusted Computing Group
TLS Transport Layer Security
TNC Trusted Network Connect
TNCC Trusted Network Connect Client
TNCS Trusted Network Connect Server
U
UDP User Datagram Protocol
Trang 8V
VLAN Virtual Local Area Network
VMPS VLAN Management Policy Server VPN Virtual Private Network
Trang 9MỞ ĐẦU: GIỚI THIỆU CHUNG
Bảo mật thông tin, an toàn thông tin, luôn là mối quan tâm hàng đầu của hầu hết các doanh nghiệp, công ty Các cuộc tấn công chủ yếu là trong môi trường mạng nội bộ, trong môi trường người dùng có ít kiến thức về an toàn thông tin, về bảo mật thông tin, có ít sự quan tâm của người quản lý Hầu hết các hệ thống mạng nội bộ của các doanh nghiệp đều chưa đảm bảo vấn đề bảo mật, chưa thể điều khiển, kiểm soát khi có một thiết bị mạng, máy tính mới được đưa vào, chưa thể kiểm soát, quản lý việc truy cập của các máy tính trong văn phòng
Vấn đề được quan tâm hàng đầu của các quản trị viên trong hệ thống mạng là làm sao kiểm soát được các máy tính của người dùng trong công ty của mình, kiểm soát được các máy tính của khách hàng đem vào công ty, làm sao để xác định, giới hạn phân quyền người dùng được phép hay không được kết nối vào những khu vực
bị hạn chế Ngoài ra còn cho phép nhà quản trị dễ dàng điều khiển, di chuyển máy tính của người sử dụng các quyền đăng nhập, kết nối vào hệ thống một cách nhanh chóng, dễ dàng mà không ảnh hưởng đến người dùng, không làm gián đoạn công việc của họ, và thực hiện công việc này một cách nhanh chóng, đơn giản
Ngoài ra, kiểm soát truy cập hệ thống còn được biết đến quá trình đăng nhập
để sử dụng các dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng Việc kiểm soát này phổ biến ở các khách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập Khi một máy tính muốn sử dụng Internet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được
Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập
ở cấp độ kết nối vào hệ thống, ở lớp vật lý và tầng liên kết dữ liệu của mô hình mạng Kiểm soát truy cập vào hệ thống mạng rất cần thiết trong môi trường mạng nội bộ của công ty, doanh nghiệp có nhiều lớp mạng nhỏ, có nhiều vùng dữ liệu
Trang 10cần được an toàn, có nhiều kết nối tạm thời của khách, có nhiều sự thay đổi về vị trí làm việc Quá trình quản lý, điều khiển cần được thực hiện một cách nhanh chóng, hiệu quả
Hiện nay có nhiều sản phẩm kiểm soát việc truy cập mạng của các hãng nổi tiếng như Cisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừa và nhỏ Do đó việc tìm hiểu và sử dụng những sản phẩm
mã nguồn mở đáp ứng các tính năng của việc quản lý truy cập mạng là cần thiết Tích hợp việc kiểm soát truy cập thông qua kiểm tra thiết bị, gán vào vùng được phép kết nối với việc sử dụng tính năng quản lý thông qua đăng nhập vào hệ thống với tài khoản do người quản lý cung cấp Dựa vào những thông tin đăng nhập người quản lý sẽ có được những thống kê người dùng một cách rõ ràng hơn
Đề tài được chia làm 4 chương
Chương 1: Tổng quan về NAC
Chương 2: Một số loại giải pháp NAC
Chương 3: Chu trình hoạt động của NAC
Chương 4: Tìm hiểu một số kiến trúc NAC
Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài Em rất mong nhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn
Trang 11CHƯƠNG 1: TỔNG QUAN VỀ NAC
1.1 Khái niệm NAC và nhiệm vụ của NAC
NAC là từ viết tắt của Network Access Control (Kiểm soát truy cập mạng)
Việc định nghĩa chung và mô tả NAC có thể gặp khó khăn, bởi vì một giải pháp NAC có rất nhiều thành phần khác nhau Các tổ chức có xu hướng tập trung vào những vấn đề NAC giải quyết cho họ hoặc lý do tại sao họ muốn triển khai NAC
Và khái niệm kiểm soát truy cập mạng có thể bao gồm nhiều phần khác nhau của một môi trường mạng, hoặc liên quan tới các thành phần mạng khác nhau hay các phòng ban khác nhau trong tổ chức Khi so sánh các thành phần của NAC trong các phần sau đây, chúng ta có thể tạo ra một định nghĩa về NAC và nhiệm vụ của nó
1.1.1 Tính toàn vẹn của thiết bị đầu cuối
Một trong các chức năng cốt lõi phổ biến của một giải pháp NAC liên quan đến việc kiểm tra, đánh giá tính toàn vẹn thiết bị đầu cuối Việc này để đảm bảo rằng thiết bị đầu cuối đáp ứng được các yêu cầu cơ bản của chính sách kiểm soát an ninh và truy cập
1.1.2 Chính sách
Các chính sách (Policies) là cốt lõi của gần như tất cả các giải pháp NAC Một tổ chức có thể ấn định trước chính sách an ninh của họ và kiểm soát truy cập, hoặc một tổ chức có thể tùy chỉnh và xác định các chính sách mà họ muốn sử dụng Những chính sách này thường tập trung vào các hoạt động và trạng thái của phần mềm và sản phẩm bảo mật thiết bị đầu cuối, chẳng hạn như phần mềm chống virus, chống phần mềm gián điệp, chống thư rác, hoặc chống các phần mềm độc hại khác, tường lửa cá nhân, máy chủ lưu trữ dựa trên hệ thống phòng chống xâm nhập
Trang 12(IPSS), hệ thống điều hành cụ thể và các bản vá lỗi ứng dụng và quản lý bản vá; và các ứng dụng khác liên quan đến an ninh Một số giải pháp NAC có thể thăm dò xem một thiết bị đầu cuối có thể bị tấn công hoặc hack như thế nào
1.1.3 Kiểm tra đánh giá
Mức độ đánh giá và kiểm tra tính toàn vẹn của các giải pháp NAC có thể khác nhau
Một số giải pháp NAC chỉ đơn giản là kiểm tra xem một thiết bị đầu cuối có được nạp một sản phẩm cụ thể, hoặc thiết lập một số sản phẩm hoặc dịch vụ
an ninh hay không NAC cũng có thể kiểm tra xem thiết bị đã bật sản phẩm
đó chưa
Một số giải pháp NAC khác lại kiểm tra chi tiết hơn Kiểm tra các sản phẩm
và tên phiên bản, thời gian quét cuối cùng, khi các thiết bị mới nhất cập nhật các sản phẩm bảo mật, cho dù người dùng đã tắt chức năng điều khiển hoặc bảo vệ thời gian thực Một số giải pháp NAC kiểm tra các sản phẩm bảo mật của các nhà cung cấp khác
1.1.4 Mở rộng đánh giá kiểm tra
Một số các giải pháp NAC đã mở rộng việc đánh giá và kiểm tra tính toàn vẹn thiết bị đầu cuối bao gồm kiểm tra hệ thống điều hành, kiểm tra giá trị chứng chỉ máy tính, các ứng dụng cụ thể, các tập tin, quy trình, registry, Media Access Control (MAC), địa chỉ IP và các kiểm tra tương tự khác Một số giải pháp NAC cho phép một tổ chức xác định và tùy chỉnh việc kiểm tra thiết bị đầu cuối mà họ muốn Một số giải pháp cung cấp khả năng để xác định đánh giá kiểm tra dựa trên một tiêu chuẩn công nghiệp hoặc tiêu chuẩn mở Một số khác cho phép tổ chức có thể tự đánh giá, kiểm tra và viết ra các chính sách cho riêng mình
Trang 131.1.5 Kiểm tra trước hay sau khi cho phép
Thời gian của một kiểm tra thiết bị đầu cuối có thể dùng để xác định một giải pháp NAC, khác biệt với các giải pháp khác Hầu hết các giải pháp NAC kiểm tra tính toàn vẹn của một thiết bị đầu cuối và đánh giá an ninh đầu cuối trước khi thiết
bị đầu cuối có thể kết nối vào mạng Loại kiểm tra này thường được gọi là admission (kiểm tra trước) Tuy nhiên, một số giải pháp NAC có thể thực hiện các kiểm tra định kỳ sau khi thiết bị đầu cuối được cấp quyền truy nhập mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau) Khi sử dụng post-admission, một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra tính toàn vẹn của thiết bị đầu cuối
Pre-1.2 Lý do cần triển khai Network Access Control (NAC)
NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng),
nhưng tại sao việc truy cập mạng của một ai đó cần phải được kiểm soát? Giống như với bất kỳ hoạt động kinh doanh nào, trình điều khiển công nghệ và thị trường ảnh hưởng đến sự cần thiết phải kiểm soát hoặc giới hạn truy cập mạng Ngoài ra,
số lượng người sử dụng mạng, thông tin mà họ sử dụng, và loại công việc họ làm ảnh hưởng đến tần số và mức độ truy cập mà họ cần
Ta cần triển khai NAC vì nhiều lý do:
Trang 14- Nhận dạng kẻ trộm
Ta có thể hiểu NAC chỉ cho phép các người dùng, các thiết bị được cho phép
có thể truy cập mạng Nếu không thì NAC có thể cho thiết bị hoặc người dùng đó truy nhập vào các vùng bị giới hạn Tại vùng bị giới hạn này NAC có thể tiến hành việc sửa chữa thiết bị đầu cuối như là việc cập nhật hệ điều hành Window hay các bản phần mềm chống virus Ngoài ra NAC có thể thực hiện việc giám sát hoạt động của các thiết bị đầu cuối
Trang 15CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 2.1 Các loại giải pháp NAC
Ở phần này ta sẽ giới thiệu một số loại giải pháp NAC
Dựa trên thiết bị (Appliance-based)
Switch- or network equipment-based
Client/host-based
Clientless
2.1.1 Dựa trên thiết bị (Appliance-based)
Một số giải pháp NAC dựa trên thiết bị (appliance-based), có nghĩa là dựa trên một máy chủ, thiết bị phần cứng sẽ triển khai giải pháp NAC Các giải pháp dựa trên thiết bị được chia thành hai loại là Inline và Out-of-band (OOB)
Inline
Nếu sử dụng mô hình Inline để giải quyết chính sách phát triển và quản lý,
và cũng như thực thi chính sách, tất cả các lưu lượng mạng phải đi qua các thiết bị, như trong hình 2.1 Vị trí này cho phép thực hiện việc điều khiển truy cập mạng một cách dễ dàng
Trang 16AAA Server Identity Stores
Server 10.0.0.3
Protected Server 10.0.0.1 , 10.0.0.2
User Defaults IP 10.0.0.x Agent -> Inline Device
Inline Device
Hình 2.1: Mô hình Inline
Tuy nhiên với cách triển khai như thế này thì thiết bị Inline có thể trở thành một điểm “nghẽn cổ chai” Nếu thiết bị bị hỏng thì người dùng sẽ không truy cập mạng được Cũng bởi vì do tất cả lưu lượng mạng đều đi qua thiết bị này nên có thể ảnh hưởng đến hiệu suất sử dụng mạng
Out-of-band
Trong giải pháp NAC Out-of-band, vị trí của thiết bị NAC nằm ngoài lưu lượng mạng Mặc dù một số lưu lượng truy cập mạng có thể chảy hoặc thông qua các thiết bị out-of-band, không phải tất cả lưu lượng truy cập mạng đã vượt qua trực tiếp thông qua nó, như thể hiện trong hình 2.2
Trang 17AAA Server
Identity
Stores
Remediation Server 172.16.0.1
Protected Server 10.0.0.1 , 10.0.0.2
Out-of-band Appliance Policy
User Defaults IP 10.0.0.x Agent -> Policy Server
Giải pháp Out-of-band cho phép thay đổi mạng nhanh hơn, dễ dàng hơn bởi
vì chúng không ở trong lưu lượng mạng, không giống như các giải pháp Inline
Trong nhiều trường hợp, chúng ta có thể triển khai chúng riêng biệt từ mạng hiện có hoặc cơ sở hạ tầng bảo mật
Trang 182.1.2 Dựa trên switch hoặc thiết bị mạng (Switch- or network based)
equipment-Đây là giải pháp mà Switch hay một thiết bị mạng sẵn có được tích hợp NAC trong đó Các thiết bị thường có thể tích hợp trong một môi trường mạng hiện tại với sự gián đoạn ít, một số thiết bị cung cấp và hỗ trợ nhiều cách để thực thi NAC,
chẳng hạn như 802.1X, DHCP (Dynamic Host Configuration Protocol), IPSec
(Internet Protocol Security), hoặc các tiêu chuẩn khác
Một số chú ý khi triển các giải pháp này:
Một số giải pháp switch-based NAC yêu cầu phải có một thiết bị bổ sung –
ví dụ như một thiết bị điều khiển trên mạng để có thể kiểm soát và quản lý chính sách
Giống như các sản phẩm kết hợp nhiều chức năng, phải đảm bảo rằng thiết bị này đáp ứng được khả năng hoạt động cơ bản của nó Nó không phải chỉ để phục vụ cho NAC
2.1.3 Dựa trên máy chủ/máy khách (Client or host-based)
Có thể nhanh chóng và dễ dàng triển khai các giải pháp NAC dựa trên máy chủ hoặc máy khách (Client/host-based) Những giải pháp NAC dựa trên phần mềm thường độc lập với mạng, cơ sở hạ tầng của nó, và bất kỳ thiết bị nào khác Trong nhiều trường hợp, giải pháp này yêu cầu một máy chủ chính sách để cung cấp và quản lý an ninh cần thiết và chính sách truy cập
Cách triển khai này tương đối đơn giản nhưng lại có một nhược điểm chính
là người quản trị phải triển khai nó đến tận các thiết bị đầu cuối Ngoài ra còn gặp khó khăn nếu thiết bị đầu cuối là các thiết bị không hỗ trợ để có thể cài đặt giải pháp này
Trang 19Giải pháp này có thể mô tả như hình 2.3 dưới đây
Endpoint Policy Server
AAA Server
Identity Stores
Remediation Server 10.0.0.3
User Defaults IP 10.0.0.x Host Agent -> Endpoint Policy Server
Protected Server
Hình 2.3: Client/host-based
2.1.4 Giải pháp Clientless
Giải pháp này không yêu cầu thiết bị đầu cuối phải được cài đặt trước khi truy cập mạng
Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal” Ở
đó khi người sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web
cụ thể để download một applet (ứng dụng nhỏ) viết bằng Java hoặc Active X Ứng dụng này có thể nắm bắt thông tin để xác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối
Trang 20Một số giải pháp NAC này sẽ triển khai một thiết bị trên mạng để theo dõi lưu lượng mạng và xác định xem thiết bị cố gắng truy cập mạng được quản lý hay không được quản lý, hoặc cho dù nó là không thể quản lý, thì về cơ bản, bất kỳ thiết bị nào kết nối vào mạng đều có một địa chỉ IP Bằng cách sử dụng các chính sách được xác định trước, hệ thống clientless sử dụng một thiết bị mạng để quyết định xem làm thế nào để xử lý thiết bị không thể quản lý được
Ngoài ra, người ta còn có thể phân chia các giải pháp NAC theo một góc nhìn khác đó là triển khai trên Layer 2 hoặc Layer 3 của mô hình OSI (Open Systems Interconnection)
2.1.5 NAC Layer 2
Lớp liên kết dữ liệu (Layer 2: Data Link Layer) tạo điều kiện cho các thông tin liên lạc và chuyển giao thông tin giữa các thành phần mạng IEEE 802.1X (Port-based network access control) là giao thức quan trọng điều khiển truy cập cũng hoạt động ở Layer 2 Nhiều thiết bị chuyển mạch Ethernet và các điểm truy cập không dây triển khai trong các mạng trên toàn thế giới ngày nay hỗ trợ giao thức 802.1X
Nhiều giải pháp NAC sử dụng Layer 2 như là chìa khóa cho phép một công nghệ và tiêu chuẩn chính sách thực thi NAC, chẳng hạn như Switch, Access point,
và các thiết bị tương tự Layer 2 giao tiếp với các thành phần của NAC trong quá trình xác thực và quá trình thực thi chính sách Hình vẽ dưới đây mô tả giải pháp NAC Layer 2
Trang 21AAA Server
Identity Stores
Remediation Server 172.16.0.1 VLAN 1
Protected Server 10.0.0.1 , 10.0.0.2 VLAN 2
Authentication Server/
Radius Server
Unauthorized Port Default 172.16.0.x VLAN 1
Authorized Port Default IP : 10.0.0.x VLAN 2 Supplicant -> Access device ->
Radius Server
Hình 2.4: NAC Layer 2
2.1.6 NAC Layer 3
Lớp mạng (Layer 3: Network Layer) chịu trách nhiệm trong việc vận chuyển
dữ liệu từ nguồn tới đích trong một hay nhiều mạng Việc định tuyến trên mạng cũng thực hiện ở lớp 3 Một số giải pháp NAC được thực hiện ở lớp 3 Trong giải pháp này, “firewall” hoặc “secure router” có thể được xem là nơi thực hiện NAC dựa trên địa chỉ IP Hình vẽ dưới đây mô tả giải pháp NAC Layer 3:
Trang 22AAA Server
Identity
Stores
Remediation Server 172.16.0.1
Protected Server 10.0.0.1 , 10.0.0.2 Policy Server
User Defaults IP 10.0.0.x Agent -> Policy Server
Trang 23thiết bị nối mạng duy nhất, hoặc giải pháp NAC switch-based, hoặc giải pháp client/host-based
Hãy quyết định xem vấn đề bảo mật mạng và nguồn tài nguyên có phải mối quan tâm trọng yếu của tổ chức hay không Nếu xem đây là mối quan tâm trọng yếu đổi với tổ chức thì nên chọn giải pháp Out-of-band thực hiện ở
Nếu đảm bảo sự an toàn của nguồn tài nguyên mạng quan trọng giúp tổ chức yên tâm, thì cần một giải pháp NAC tập trung vào sự phân biệt tài nguyên mạng Điều này giúp cho việc chỉ có người sử dụng được xác thực, ủy quyền chính xác mới có thể sử dụng tài nguyên đúng với quyền hạn của mình
Chúng ta nên cân nhắc chọn giải pháp, sản phẩm NAC có các thuộc tính và khả năng sau đây:
Khả năng mạnh trong việc xác thực người dùng, thiết bị và tính toàn vẹn của thiết bị
Khả năng tự động đề ra các chính sách phù hợp với người dùng và thiết bị
Khả năng hoàn toàn bảo vệ mạng: Các giải pháp NAC được chọn có thể cung cấp một tập hợp phong phú được xác định trước về tính toàn vẹn của các thiết bị đầu cuối Nó cũng phải có khả năng tự động thay đổi tình trạng mạng, nếu có sự thay đổi thông tin trạng thái bảo mật thiết bị đầu cuối, thông tin mạng, hoặc thông tin người sử dụng Và bất kỳ giải pháp NAC nào được