Network Access Control (NAC) คือระบบควบคุมการเข้าถึงเครือข่ายที่ทุกองค์กรต้องมี

ทุกครั้งที่อุปกรณ์เชื่อมต่อเข้าสู่เครือข่ายองค์กร คำถามแรกที่ต้องตอบคือ "อุปกรณ์นี้มีสิทธิ์เข้าถึงทรัพยากรอะไรบ้าง?" Network Access Control หรือ NAC คือเทคโนโลยีที่ทำหน้าที่ตอบคำถามนี้โดยอัตโนมัติ ระบบจะตรวจสอบตัวตนของผู้ใช้และอุปกรณ์ ประเมินสถานะความปลอดภัย แล้วจึงกำหนดสิทธิ์การเข้าถึงตาม Policy ที่องค์กรกำหนดไว้ล่วงหน้า

NAC ไม่ได้เป็นแค่การบล็อกหรืออนุญาตเท่านั้น แต่ยังรวมถึงการจัดกลุ่มอุปกรณ์เข้า VLAN ที่เหมาะสม การบังคับให้ติดตั้ง Antivirus ก่อนเข้าเครือข่ายหลัก และการ Quarantine อุปกรณ์ที่ไม่ผ่านเกณฑ์ไปยังเครือข่ายแยกต่างหาก บทความนี้จะพาไปดูการทำงานจริงของ NAC ตั้งแต่โปรโตคอลพื้นฐานจนถึงการติดตั้งระบบ Open-Source NAC ที่ใช้งานได้จริงในองค์กร

NAC คืออะไรและทำงานอย่างไร

Network Access Control (NAC) คือกลไกที่ควบคุมว่าอุปกรณ์ใดสามารถเข้าถึงเครือข่ายได้ โดยพิจารณาจากหลายปัจจัยประกอบกัน ได้แก่ตัวตนของผู้ใช้ (Identity) ประเภทของอุปกรณ์ (Device Type) สถานะความปลอดภัยของอุปกรณ์ (Posture) และตำแหน่งที่เชื่อมต่อ (Location) ระบบ NAC จะทำงานร่วมกับ Switch, Wireless Controller, VPN Gateway และ Firewall เพื่อบังคับใช้นโยบายความปลอดภัย

กระบวนการทำงานของ NAC แบ่งเป็น 4 ขั้นตอนหลัก:

ขั้นตอน	รายละเอียด	โปรโตคอล
1. Authentication	ยืนยันตัวตนผู้ใช้หรืออุปกรณ์	802.1X, MAB, WebAuth
2. Authorization	กำหนดสิทธิ์ตาม Policy	RADIUS, TACACS+
3. Posture Assessment	ตรวจสอบสถานะอุปกรณ์	SNMP, Agent-based
4. Remediation	แก้ไขอุปกรณ์ที่ไม่ผ่านเกณฑ์	Quarantine VLAN

เมื่ออุปกรณ์เสียบสาย LAN เข้ากับ Switch Port ที่เปิด 802.1X ไว้ Switch จะไม่อนุญาตให้ Traffic ใดๆผ่านจนกว่าจะมีการ Authenticate สำเร็จ อุปกรณ์ต้องส่ง EAP (Extensible Authentication Protocol) Packet ไปยัง Switch จากนั้น Switch จะ Relay ข้อมูลนี้ไปยัง RADIUS Server เพื่อตรวจสอบ Credential ถ้าผ่านก็จะได้รับอนุญาตให้เข้าถึงเครือข่ายตาม VLAN หรือ ACL ที่กำหนด

สำหรับอุปกรณ์ที่ไม่รองรับ 802.1X เช่นเครื่อง Printer หรือ IP Phone ระบบจะใช้ MAC Authentication Bypass (MAB) โดย Switch จะส่ง MAC Address ของอุปกรณ์ไปตรวจสอบกับ RADIUS Server แทน ถ้า MAC Address ตรงกับ Whitelist ก็จะอนุญาตให้เข้าถึงได้

ในยุคที่ BYOD (Bring Your Own Device) แพร่หลาย NAC ยิ่งมีความสำคัญมากขึ้น เพราะพนักงานนำอุปกรณ์ส่วนตัวมาเชื่อมต่อเครือข่ายองค์กรตลอดเวลา ไม่ว่าจะเป็น Smartphone, Tablet หรือ Laptop ส่วนตัว อุปกรณ์เหล่านี้อาจไม่ได้ติดตั้ง Security Software ตามมาตรฐานองค์กร NAC จึงทำหน้าที่คัดกรองอุปกรณ์เหล่านี้ให้เข้าถึงเฉพาะทรัพยากรที่จำเป็นเท่านั้น เช่นอนุญาตให้ใช้อินเทอร์เน็ตผ่าน Guest VLAN แต่ไม่สามารถเข้าถึง File Server หรือระบบ ERP ภายในได้

แนวคิด Zero Trust Architecture ที่กำลังเป็นที่นิยมในปัจจุบันก็สอดคล้องกับ NAC โดยตรง หลักการ "Never Trust, Always Verify" หมายความว่าทุกอุปกรณ์ต้องถูกตรวจสอบทุกครั้งก่อนเข้าถึงทรัพยากร ไม่ว่าจะเชื่อมต่อจากภายในหรือภายนอกองค์กร NAC เป็นเทคโนโลยีพื้นฐานที่ช่วยให้ Zero Trust ทำงานได้จริงบน Layer 2 ของเครือข่าย

องค์ประกอบหลักของระบบ NAC

ระบบ NAC ที่สมบูรณ์ประกอบด้วย 3 ส่วนหลัก:

1. Supplicant คือซอฟต์แวร์ที่ทำงานบนอุปกรณ์ปลายทาง ทำหน้าที่ส่ง Credential ไปยัง Authenticator โดย Windows มี Built-in 802.1X Supplicant อยู่แล้ว ส่วน Linux ใช้ wpa_supplicant สำหรับทั้ง Wired และ Wireless

2. Authenticator คือ Network Device เช่น Switch หรือ Wireless Access Point ที่ทำหน้าที่เป็นตัวกลางระหว่าง Supplicant กับ Authentication Server โดย Authenticator จะควบคุม Port State ว่าจะเปิดหรือปิด

3. Authentication Server คือ RADIUS Server ที่เก็บข้อมูลผู้ใช้และ Policy ตัวอย่างที่นิยมใช้คือ FreeRADIUS, Cisco ISE, Aruba ClearPass และ Microsoft NPS

นอกจากนี้ยังมี Policy Engine ที่เป็นสมองของระบบ ทำหน้าที่ตัดสินใจว่าอุปกรณ์แต่ละตัวจะได้รับสิทธิ์อะไร โดยพิจารณาจากข้อมูลที่ได้รับจาก Authentication และ Posture Assessment ร่วมกัน

การตั้งค่า wpa_supplicant บน Linux สำหรับ Wired 802.1X ทำได้โดยสร้างไฟล์คอนฟิกดังนี้:

# /etc/wpa_supplicant/wpa_supplicant-wired.conf
ctrl_interface=/var/run/wpa_supplicant
ap_scan=0

network={
    key_mgmt=IEEE8021X
    eap=PEAP
    identity="employee01"
    password="SecureP@ss2026"
    phase2="auth=MSCHAPV2"
    eapol_flags=0
}

# เรียกใช้งาน
# wpa_supplicant -D wired -i eth0 -c /etc/wpa_supplicant/wpa_supplicant-wired.conf -B

สำหรับ Windows สามารถเปิดใช้งาน 802.1X ได้ผ่าน Services โดยเปิด "Wired AutoConfig" (dot3svc) แล้วเข้าไปตั้งค่าที่ Network Adapter Properties > Authentication Tab เลือก Enable IEEE 802.1X authentication แล้วกำหนด EAP Method ตามที่ RADIUS Server รองรับ

โปรโตคอล 802.1X และ RADIUS

IEEE 802.1X เป็นมาตรฐานสำหรับ Port-Based Network Access Control ที่ทำงานบน Layer 2 ของ OSI Model โปรโตคอลนี้ใช้ EAP เป็นกลไกในการส่ง Authentication Data โดยมี EAP Method หลายแบบที่นิยมใช้:

EAP-TLS ใช้ Certificate ทั้งฝั่ง Client และ Server ถือเป็นวิธีที่ปลอดภัยที่สุดแต่ต้องมีระบบ PKI รองรับ PEAP (Protected EAP) ใช้ TLS Tunnel ครอบ MSCHAPv2 เหมาะกับสภาพแวดล้อมที่ใช้ Active Directory EAP-TTLS คล้าย PEAP แต่รองรับ Inner Method ได้หลากหลายกว่า เช่น PAP, CHAP, MSCHAPv2

RADIUS (Remote Authentication Dial-In User Service) ทำงานบน UDP Port 1812 สำหรับ Authentication และ Port 1813 สำหรับ Accounting โดย RADIUS Packet ประกอบด้วย Attribute-Value Pairs (AVPs) ที่ส่งข้อมูลต่างๆเช่น Username, VLAN Assignment, ACL Name ระหว่าง Switch กับ RADIUS Server

ตัวอย่างโฟลว์การทำงาน 802.1X:

Client (Supplicant)     Switch (Authenticator)     RADIUS Server
       |                        |                        |
       |--- EAPOL-Start ------->|                        |
       |<-- EAP-Request/ID -----|                        |
       |--- EAP-Response/ID --->|                        |
       |                        |--- Access-Request ---->|
       |                        |<-- Access-Challenge ---|
       |<-- EAP-Request/PEAP ---|                        |
       |--- EAP-Response/PEAP ->|                        |
       |                        |--- Access-Request ---->|
       |                        |<-- Access-Accept ------|
       |<-- EAP-Success --------|                        |
       |                        |                        |
       |=== Port Authorized ====|                        |

ติดตั้ง FreeRADIUS สำหรับ NAC

FreeRADIUS เป็น RADIUS Server แบบ Open-Source ที่รองรับ 802.1X ได้เต็มรูปแบบ รองรับการเชื่อมต่อกับ LDAP, Active Directory, MySQL และ PostgreSQL สำหรับเก็บข้อมูลผู้ใช้ การติดตั้งบน Ubuntu/Debian ทำได้ตามขั้นตอนนี้:

# ติดตั้ง FreeRADIUS และ utilities
sudo apt update
sudo apt install -y freeradius freeradius-utils freeradius-ldap

# ตรวจสอบ version
freeradius -v

# เปิด debug mode เพื่อทดสอบ
sudo systemctl stop freeradius
sudo freeradius -X

ไฟล์คอนฟิกหลักของ FreeRADIUS อยู่ที่ /etc/freeradius/3.0/ ไฟล์ที่ต้องแก้ไขมีดังนี้:

clients.conf — กำหนด Switch/AP ที่อนุญาตให้ส่ง RADIUS Request เข้ามา:

# /etc/freeradius/3.0/clients.conf
client switch-floor1 {
    ipaddr          = 192.168.1.10
    secret          = R@dius$ecret2026
    shortname       = sw-floor1
    nastype         = cisco
    require_message_authenticator = yes
}

client switch-floor2 {
    ipaddr          = 192.168.1.11
    secret          = R@dius$ecret2026
    shortname       = sw-floor2
    nastype         = cisco
}

# กำหนดเป็น subnet ก็ได้
client lan-switches {
    ipaddr          = 192.168.1.0/24
    secret          = R@dius$ecret2026
    shortname       = lan-switches
}

users — กำหนด User สำหรับทดสอบ:

# /etc/freeradius/3.0/users
# ผู้ใช้ทั่วไปเข้า VLAN 10
testuser  Cleartext-Password := "TestPass123"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "10"

# Guest เข้า VLAN 99 (Guest Network)
guest01  Cleartext-Password := "GuestPass"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "99",
    Session-Timeout = 3600

# MAB สำหรับ Printer (ใช้ MAC Address เป็น Username)
001122334455  Cleartext-Password := "001122334455"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "20"

เมื่อคอนฟิกเสร็จแล้ว ทดสอบด้วยคำสั่ง radtest:

# ทดสอบ Authentication
radtest testuser TestPass123 localhost 0 testing123

# ผลลัพธ์ที่ถูกต้องจะแสดง Access-Accept
# Received Access-Accept Id 123 from 127.0.0.1:1812 to 127.0.0.1:60000 length 40
#    Tunnel-Type:0 = VLAN
#    Tunnel-Medium-Type:0 = IEEE-802
#    Tunnel-Private-Group-Id:0 = "10"

สำหรับการเชื่อมต่อกับ LDAP/Active Directory ต้องแก้ไฟล์ mods-enabled/ldap:

# /etc/freeradius/3.0/mods-enabled/ldap
ldap {
    server   = "ldap://dc01.company.local"
    port     = 389
    identity = "cn=radius-svc, ou=Service Accounts, dc=company, dc=local"
    password = "LdapBindP@ss"
    base_dn  = "dc=company, dc=local"

    user {
        base_dn = "ou=Users,"
        filter  = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})"
    }

    group {
        base_dn    = "ou=Groups,"
        filter     = "(objectClass=group)"
        membership_attribute = "memberOf"
    }
}

คอนฟิก Switch สำหรับ 802.1X

เมื่อ RADIUS Server พร้อมใช้งานแล้ว ขั้นตอนถัดไปคือการคอนฟิก Switch ให้รองรับ 802.1X ตัวอย่างนี้ใช้ Cisco IOS สำหรับ Catalyst Switch:

! เปิดใช้งาน AAA
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

! กำหนด RADIUS Server
radius server FREERADIUS-01
  address ipv4 192.168.1.100 auth-port 1812 acct-port 1813
  key R@dius$ecret2026
  timeout 5
  retransmit 3

! เปิดใช้งาน 802.1X ทั้ง Switch
dot1x system-auth-control

! คอนฟิก Access Port สำหรับ 802.1X
interface range GigabitEthernet1/0/1-24
  switchport mode access
  switchport access vlan 10
  authentication host-mode multi-auth
  authentication port-control auto
  authentication periodic
  authentication timer reauthenticate 3600
  dot1x pae authenticator
  dot1x timeout tx-period 10
  mab
  authentication order dot1x mab
  authentication priority dot1x mab
  spanning-tree portfast

! กำหนด Guest VLAN สำหรับอุปกรณ์ที่ Auth ไม่ผ่าน
interface range GigabitEthernet1/0/1-24
  authentication event fail action authorize vlan 99
  authentication event no-resp action authorize vlan 99

! กำหนด Critical VLAN เมื่อ RADIUS Server ล่ม
interface range GigabitEthernet1/0/1-24
  authentication event server dead action authorize vlan 10
  authentication event server alive action reinitialize

การคอนฟิกข้างต้นจะทำให้ Switch พยายาม Authenticate ด้วย 802.1X ก่อน ถ้าอุปกรณ์ไม่รองรับก็จะ Fallback ไปใช้ MAB แทน ถ้า Authentication ล้มเหลวทั้งสองแบบ อุปกรณ์จะถูกส่งไป Guest VLAN 99 และถ้า RADIUS Server ล่ม อุปกรณ์ทั้งหมดจะถูกส่งไป Critical VLAN 10 เพื่อให้ทำงานต่อได้

สำหรับ Switch ที่ไม่ใช่ Cisco เช่น HP/Aruba ProCurve คำสั่งจะแตกต่างออกไป:

! HP/Aruba ProCurve 802.1X Config
aaa authentication port-access eap-radius
radius-server host 192.168.1.100 key "R@dius$ecret2026"
aaa port-access authenticator 1-24
  tx-period 10
  max-requests 3
  client-limit 1
aaa port-access authenticator active

ติดตั้ง PacketFence Open-Source NAC

PacketFence เป็นระบบ NAC แบบ Open-Source ที่มีฟีเจอร์ครบถ้วน รองรับ 802.1X, MAC Authentication, Captive Portal, Device Profiling และ Compliance Checking ระบบนี้เหมาะสำหรับองค์กรที่ต้องการ NAC เต็มรูปแบบโดยไม่ต้องซื้อ License แพงๆ

การติดตั้ง PacketFence บน Rocky Linux 9:

# เพิ่ม PacketFence Repository
sudo dnf install -y https://packetfence.org/downloads/PacketFence/RHEL9/packetfence-release-14.0.el9.noarch.rpm

# ติดตั้ง PacketFence
sudo dnf install -y packetfence

# รัน Configuration Wizard
sudo /usr/local/pf/bin/pfcmd configurator start

# เปิด Web Interface
# เข้า https://YOUR_IP:1443/configurator

หลังจากติดตั้งแล้ว ต้องกำหนดค่าพื้นฐานใน /usr/local/pf/conf/pf.conf:

[general]
hostname=packetfence
domain=company.local
timezone=Asia/Bangkok

[interface eth0]
type=management
ip=192.168.1.50
mask=255.255.255.0
gateway=192.168.1.1

[interface eth1]
type=internal
ip=10.0.0.1
mask=255.255.255.0
enforcement=vlan

[trapping]
registration=enabled
detection=enabled
range=10.0.0.0/24

[alerting]
emailaddr=admin@company.local
smtpserver=smtp.company.local

กำหนด Switch ใน PacketFence ผ่านไฟล์ /usr/local/pf/conf/switches.conf:

[default]
type=Cisco::Catalyst_2960
mode=production
SNMPVersion=2c
SNMPCommunityRead=public
SNMPCommunityWrite=private
radiusSecret=R@dius$ecret2026
cliAccess=1
cliTransport=SSH
cliUser=admin
cliPwd=CiscoAdmin123
cliEnablePwd=EnablePass

[192.168.1.10]
type=Cisco::Catalyst_2960
description=Switch Floor 1
registrationVlan=100
isolationVlan=200
normalVlan=10
guestVlan=99

PacketFence มี Connection Profile สำหรับกำหนดว่า User ต้องทำอะไรก่อนเข้าเครือข่าย เช่น ลงทะเบียนอุปกรณ์ผ่าน Captive Portal ยอมรับ AUP (Acceptable Use Policy) หรือยืนยันตัวตนผ่าน SMS/Email โดยคอนฟิกผ่านไฟล์ /usr/local/pf/conf/profiles.conf:

[default]
description=Default Registration
filter=connection_type, Ethernet-EAP
sources=local, ldap
billing_tiers=
provisioners=
scan=enabled

การเขียน Policy และ Posture Assessment

หัวใจสำคัญของ NAC คือ Policy ที่กำหนดว่าอุปกรณ์ประเภทใดได้รับสิทธิ์อะไร ตัวอย่าง Policy ที่ใช้งานจริง:

Role-Based Access Control — กำหนดสิทธิ์ตามกลุ่มผู้ใช้ใน AD:

# FreeRADIUS policy.d/role-vlan-mapping
# /etc/freeradius/3.0/policy.d/role-vlan
policy role_vlan_mapping {
    if (&LDAP-Group == "IT-Department") {
        update reply {
            Tunnel-Type := VLAN
            Tunnel-Medium-Type := IEEE-802
            Tunnel-Private-Group-Id := "10"
        }
    }
    elsif (&LDAP-Group == "HR-Department") {
        update reply {
            Tunnel-Type := VLAN
            Tunnel-Medium-Type := IEEE-802
            Tunnel-Private-Group-Id := "20"
        }
    }
    elsif (&LDAP-Group == "Guest-Users") {
        update reply {
            Tunnel-Type := VLAN
            Tunnel-Medium-Type := IEEE-802
            Tunnel-Private-Group-Id := "99"
            Session-Timeout := 28800
        }
    }
    else {
        update reply {
            Tunnel-Type := VLAN
            Tunnel-Medium-Type := IEEE-802
            Tunnel-Private-Group-Id := "200"
        }
    }
}

Posture Assessment คือการตรวจสอบสถานะอุปกรณ์ก่อนอนุญาตให้เข้าเครือข่าย PacketFence รองรับการตรวจสอบผ่าน Nessus, OpenVAS หรือ Rapid7 กำหนดคอนฟิกได้ใน /usr/local/pf/conf/scan.conf:

[openvas]
type=OpenVAS
host=192.168.1.60
port=9390
user=admin
pass=OpenVasP@ss
scanners=OpenVAS Default
alert_trigger=WARNING
categories=windows, linux
oses=Windows, Linux
duration=30m
pre_registration=0
post_registration=1
registration=1

เมื่ออุปกรณ์ผ่านการ Scan แล้วพบว่าไม่ผ่านเกณฑ์ เช่นไม่ได้อัปเดต Patch หรือไม่มี Antivirus ระบบจะส่งอุปกรณ์ไป Isolation VLAN และแสดง Remediation Page บอกผู้ใช้ว่าต้องแก้ไขอะไรบ้าง หลังจากแก้ไขเสร็จผู้ใช้สามารถกด Rescan เพื่อตรวจสอบอีกครั้ง

Monitoring และ Troubleshooting

การ Monitor ระบบ NAC เป็นสิ่งจำเป็นเพื่อให้แน่ใจว่าทุกอย่างทำงานปกติ เครื่องมือที่ใช้บ่อยได้แก่:

ตรวจสอบ RADIUS Log:

# ดู FreeRADIUS log แบบ realtime
sudo tail -f /var/log/freeradius/radius.log

# ดู detail log ของ authentication
sudo tail -f /var/log/freeradius/detail

# เปิด debug mode เพื่อดูรายละเอียด
sudo freeradius -X 2>&1 | tee /tmp/radius-debug.log

# ค้นหา authentication failure
grep -i "reject" /var/log/freeradius/radius.log | tail -20

ตรวจสอบสถานะ 802.1X บน Switch:

! ดูสถานะ 802.1X ทุก port
show dot1x all

! ดูรายละเอียด port เฉพาะ
show authentication sessions interface Gi1/0/5

! ดูผลลัพธ์ authentication
show authentication sessions

! ตัวอย่างผลลัพธ์:
! Interface    MAC Address    Method  Domain  Status   Session ID
! Gi1/0/5      0011.2233.4455 dot1x   DATA    Auth     0A0101050000000B
! Gi1/0/10     AABB.CCDD.EEFF mab     DATA    Auth     0A010105000000F1

! ดู RADIUS statistics
show radius statistics

! Clear session เพื่อ force re-authentication
clear authentication sessions interface Gi1/0/5

ตรวจสอบ PacketFence:

# ดู service status
sudo /usr/local/pf/bin/pfcmd service pf status

# ดู node ที่ register แล้ว
sudo /usr/local/pf/bin/pfcmd node view all

# ดู violation ที่เกิดขึ้น
sudo /usr/local/pf/bin/pfcmd violation view all

# ดู RADIUS audit log
sudo /usr/local/pf/bin/pfcmd radiusauditlog view

# Restart ทุก service
sudo /usr/local/pf/bin/pfcmd service pf restart

ปัญหาที่พบบ่อยในการ Deploy NAC:

ปัญหา	สาเหตุ	วิธีแก้ไข
อุปกรณ์เข้า Guest VLAN ทั้งที่ Credential ถูก	EAP Method ไม่ตรงกัน	ตรวจสอบ Supplicant Config ให้ใช้ EAP Method เดียวกับ RADIUS
RADIUS Timeout	Firewall บล็อก Port 1812/1813	เปิด UDP 1812-1813 ระหว่าง Switch กับ RADIUS
Certificate Error	Certificate หมดอายุหรือ CA ไม่ Trusted	ติดตั้ง Root CA Certificate บน Client
MAB ไม่ทำงาน	MAC Format ไม่ตรง	ตรวจสอบ MAC Format ใน RADIUS (ใช้ lowercase ไม่มี separator)
IP Phone ไม่ได้ Voice VLAN	CDP/LLDP ไม่ได้เปิด	เปิด CDP/LLDP-MED บน Switch Port

สำหรับการ Integrate กับ Firewall เพื่อทำ Dynamic ACL สามารถใช้ RADIUS Change of Authorization (CoA) เพื่อเปลี่ยน VLAN หรือ ACL ของอุปกรณ์แบบ Realtime โดยไม่ต้อง Re-authenticate:

# ส่ง CoA เพื่อเปลี่ยน VLAN ของอุปกรณ์
echo "User-Name=testuser, Tunnel-Private-Group-Id=20" | \
  radclient -x 192.168.1.10:3799 coa R@dius$ecret2026

# ส่ง Disconnect-Request เพื่อบังคับ Re-auth
echo "User-Name=testuser" | \
  radclient -x 192.168.1.10:3799 disconnect R@dius$ecret2026

สรุปและแหล่งเรียนรู้เพิ่มเติม

Network Access Control เป็นเทคโนโลยีที่จำเป็นสำหรับการรักษาความปลอดภัยเครือข่ายองค์กรในปัจจุบัน การเริ่มต้นด้วย FreeRADIUS สำหรับ 802.1X Authentication ร่วมกับ PacketFence สำหรับ NAC เต็มรูปแบบ จะช่วยให้องค์กรมีระบบควบคุมการเข้าถึงที่แข็งแกร่งโดยไม่ต้องลงทุนซื้อ Commercial License

สิ่งสำคัญที่ต้องจำคือ NAC ไม่ใช่โปรเจกต์ที่ Deploy ครั้งเดียวแล้วจบ แต่ต้องมีการปรับปรุง Policy อย่างต่อเนื่อง ตรวจสอบ Log เป็นประจำ และอัปเดตระบบให้ทันกับภัยคุกคามใหม่ๆ การเริ่มจาก Monitor Mode ก่อนแล้วค่อยเปลี่ยนเป็น Enforcement Mode จะช่วยลดความเสี่ยงในการ Deploy

สำหรับองค์กรที่ต้องการ High Availability ควรติดตั้ง RADIUS Server อย่างน้อย 2 ตัวโดยตั้งเป็น Primary และ Secondary บน Switch ให้คอนฟิก RADIUS Server Group ที่มีทั้งสองตัว เมื่อ Primary ล่ม Switch จะ Failover ไป Secondary โดยอัตโนมัติ และควรตั้ง Dead Criteria ให้เหมาะสมเช่น timeout 5 วินาที retry 3 ครั้ง เพื่อให้การ Failover เกิดขึ้นเร็วพอที่ผู้ใช้จะไม่รู้สึกถึงความขัดข้อง

การทำ Segmentation ร่วมกับ NAC เป็นแนวทางที่แนะนำอย่างยิ่ง โดยแบ่ง VLAN ตามประเภทของอุปกรณ์และระดับสิทธิ์ เช่น VLAN 10 สำหรับพนักงานฝ่าย IT ที่ต้องเข้าถึง Server Room, VLAN 20 สำหรับพนักงานทั่วไป, VLAN 30 สำหรับ IoT Device เช่น CCTV และ Sensor, VLAN 99 สำหรับ Guest ที่เข้าถึงได้เฉพาะอินเทอร์เน็ต และ VLAN 200 สำหรับ Quarantine ที่แยกอุปกรณ์ไม่ผ่านเกณฑ์ออกจากเครือข่ายหลัก การแบ่ง Segment แบบนี้ช่วยจำกัดขอบเขตความเสียหายเมื่อเกิดเหตุละเมิดความปลอดภัย เพราะ Attacker ที่เข้ามาจะถูกจำกัดอยู่ใน VLAN เดียวไม่สามารถ Lateral Movement ไปยัง VLAN อื่นได้

แหล่งเรียนรู้เพิ่มเติมที่แนะนำ ได้แก่เอกสาร FreeRADIUS Official Documentation ที่ freeradius.org ซึ่งอธิบายการคอนฟิกอย่างละเอียดทุก Module รวมถึง PacketFence Administration Guide ที่ packetfence.org/doc สำหรับผู้ที่ต้องการ Deploy NAC แบบเต็มรูปแบบ และ Cisco ISE Configuration Guide สำหรับผู้ที่ใช้ Cisco Ecosystem เป็นหลัก การศึกษาจากเอกสารเหล่านี้ร่วมกับการลงมือทำ Lab จริงจะช่วยให้เข้าใจการทำงานของ NAC ได้อย่างลึกซึ้งและนำไปประยุกต์ใช้ในองค์กรได้อย่างมั่นใจ

บทความแนะนำ:

Q: NAC กับ Firewall ต่างกันอย่างไร

A: Firewall ควบคุม Traffic ระหว่างเครือข่ายตาม IP/Port แต่ NAC ควบคุมตั้งแต่ขั้นตอนการเชื่อมต่อเข้าเครือข่ายบน Layer 2 โดยตรวจสอบตัวตนของอุปกรณ์และผู้ใช้ก่อนอนุญาตให้ใช้เครือข่าย ทั้งสองระบบทำงานเสริมกันเพื่อความปลอดภัยแบบ Defense-in-Depth

Q: องค์กรขนาดเล็กจำเป็นต้องใช้ NAC ไหม

A: องค์กรที่มีอุปกรณ์เชื่อมต่อเครือข่ายมากกว่า 50 เครื่องขึ้นไปควรพิจารณา NAC เพราะการจัดการด้วยมือจะซับซ้อนเกินไป FreeRADIUS กับ PacketFence เป็นทางเลือก Open-Source ที่ไม่มีค่า License ทำให้องค์กรขนาดเล็กเริ่มต้นได้โดยไม่ต้องลงทุนสูง

Q: ใช้เวลา Deploy NAC นานแค่ไหน

A: สำหรับเครือข่ายที่มี Switch 10-20 ตัว ใช้เวลาประมาณ 2-4 สัปดาห์ โดยสัปดาห์แรกเป็นการติดตั้ง RADIUS Server และทดสอบ สัปดาห์ที่สองคอนฟิก Switch ทีละชั้น สัปดาห์ที่สาม-สี่เปิด Monitor Mode แล้วค่อยเปลี่ยนเป็น Enforcement Mode

Q: ถ้า RADIUS Server ล่ม อุปกรณ์ทั้งหมดจะเข้าเครือข่ายไม่ได้เลยหรือ

A: ไม่ใช่ สามารถตั้งค่า Critical VLAN บน Switch ได้ เมื่อ RADIUS Server ไม่ตอบสนอง Switch จะอนุญาตให้อุปกรณ์เข้า Critical VLAN โดยอัตโนมัติ นอกจากนี้ควรมี RADIUS Server อย่างน้อย 2 ตัวเพื่อทำ High Availability