Công nghệ bảo mật cho mạng LAN

Công nghệ này cho phép nhà quản trị biết ai đang dùng mạng, ở đâu và đăng nhập như thế nào, những tài nguyên mà họ có thể truy cập, khi nào mạng LAN vẫn an toàn và không có chương trình có hại thì người dùng được chấp nhận.

Danh sách điều khiển truy nhập (ACL) ban đầu được thiết kế cho các router để từ chối hoặc cho phép các gói tin truy nhập vào mạng từ mạng WAN, đã gây trở ngại trong việc kiểm soát một nhóm các người dùng đa dạng truy nhập các mạng LAN.

Điều khiển truy nhập LAN dựa trên người dùng (ULA) là một công nghệ mới giúp định nghĩa lại việc truy nhập mạng. Công nghệ này được hiện thực hóa bởi sự đời của công nghệ ASIC mới có hiệu năng cao, đặt hệ thống bảo mật mạng LAN có khả năng ULA ở trong mạng tại lớp truy nhập người dùng hoặc lớp kết hợp và kiểm tra từng gói tin trên từng cổng về sự phù hợp với chính sách về bảo mật và chương trình có hại.

Công nghệ này cho phép nhà quản trị nhận biết ai đang dùng mạng, ở đâu và anh ta đã đăng nhập như thế nào, những tài nguyên mà anh ta có thể truy cập, và khi nào mạng LAN vẫn an toàn và không có chương trình có hại thì người dùng được chấp nhận. Nó cũng cung cấp cơ chế tự cách ly để cô lập người dùng có vấn đề ngay lập tức và thay đổi từ chính sách bình thường sang chính sách cách ly khi chương trình có hại được phát hiện. Hiệu quả là nó tạo ra một DMZ cá nhân cho từng người dùng trên từng cổng.

Điều khiển truy nhập LAN dựa trên người dùng hoạt động trong suốt đối với người dùng cuối khi cung cấp công cụ bảo mật mạnh cho mạng hoặc cho người quản trị. Các hệ thống có khả năng ULA đủ linh hoạt để đưa ra một vài cơ chế để xác thực, đủ thông minh để hiểu các khái niệm của việc nhận dạng người dùng và các chính sách bảo mật gắn với từng người dùng. Ví dụ, khi một người dùng cắm máy tính xách tay của anh ta vào mạng, anh ta xác thực qua chuẩn 802.1X hoặc qua trang đăng nhập của portal, hệ thống sẽ ngay lập tức áp dụng các chính sách bảo mật đối người dùng đó cho tất cả các ứng dụng và các dịch vụ mạng mà anh ta truy nhập.

Công nghệ bảo mật này cũng tích hợp với cơ sở dữ liệu đang có sẵn để xác định các thành viên của các nhóm người dùng. Một hệ thống phù hợp giữa thành viên nhóm từ dịch vụ RADIUS hoặc giao thức Lightweight Directory Access Protocol (LDAP) có sẵn với các chính sách bảo mật sẽ được áp dụng trên một cổng truy nhập mạng LAN. Cách tiếp cận dựa trên nhóm đảm bảo khả năng mở rộng trong công ty, bởi vì các chính sách được định nghĩa một lần và tất cả các nhóm thành viên tự động thừa hưởng các chính sách này lúc đăng nhập. Khi một người dùng mang tính tạm thời (như một nhà thầu đang nâng cấp SAP mới nhất) thì các chính sách “du lịch” sẽ được áp dụng khi anh ta kết nối vào mạng.

Theo Joseph Tardo