โครงการบูรณาการระบบยืนยันตัวตนแบบรวมศูนย์และกำหนดสิทธิ์การเข้าถึงตามบทบาทผ่าน RADIUS
Centralized Authentication & RBAC Implementation via RADIUS
ผู้จัดทำ: นายณัฐดนัย กุลโชติร รหัสนิสิต 65109010207
อาจารย์ที่ปรึกษาโครงงาน: อาจารย์ ดร. กฤษฎา เจริญเวหาสถิต
ที่มาและความสำคัญ
องค์กรที่มีโครงสร้างเครือข่ายขนาดใหญ่ใช้อุปกรณ์ Firewall หลายตัวเพื่อควบคุมการเข้าถึงและแยกส่วนระบบตามระดับความสำคัญของข้อมูล ซึ่งทำให้การจัดการบัญชีผู้ดูแลระบบแบบ Local ในแต่ละอุปกรณ์เกิดความซ้ำซ้อน ยุ่งยาก และเสี่ยงต่อความผิดพลาด รวมทั้งอาจเกิดการให้สิทธิ์เกินความจำเป็นและยากต่อการตรวจสอบย้อนหลัง
โครงงานนี้จึงมุ่งพัฒนาการนำนวัตกรรมแบบรวมศูนย์มาใช้ในการจัดบัญชีผู้ดูแลแบบรวมศูนย์ร่วมกับการกำหนดสิทธิ์ตามบทบาท (RBAC) ผ่าน RADIUS เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการสิทธิ์ ลดความซ้ำซ้อน และยกระดับความมั่นคงปลอดภัยของระบบสารสนเทศโดยรวม
วัตถุประสงค์
- เพื่อปรับใช้ระบบยืนยันตัวตนแบบรวมศูนย์ผ่านโปรโตคอล RADIUS สำหรับการควบคุมการเข้าถึงของผู้ดูแลระบบบนอุปกรณ์ Firewall หลายอุปกรณ์ และเพิ่มประสิทธิภาพในการบริหารจัดการสิทธิ์
- เพื่อกำหนดสิทธิ์การเข้าถึงตามบทบาทเพื่อลดความเสี่ยงจากการให้สิทธิ์เกินความจำเป็น
วิธีการดำเนินงาน (Methodology)
กระบวนการพัฒนาระบบแบ่งเป็น 4 ขั้นตอนหลัก:
1. ศึกษาระบบ
ศึกษาการทำงานของระบบ AAA (Authentication, Authorization, Accounting) และโปรโตคอล RADIUS รวมถึงกระบวนการยืนยันตัวตนของผู้ดูแลระบบผ่าน Firewall ไปยัง RADIUS Server
ส่วนประกอบสำคัญ:
- ฝั่ง RADIUS Server: ฐานข้อมูล User Account พร้อม Shared Secret และกำหนด Authorization ตามหมวดหมู่
- ฝั่ง Firewall: ส่ง Authentication Request ไปยัง RADIUS Server พร้อม Shared Secret โดยต้องกำหนด Policy ตามขั้นตอนที่ชัดเจน
2. กำหนดค่าระบบใน UAT
ตั้งค่าการเชื่อมต่อระหว่าง Firewall และ RADIUS Server เพื่อให้ระบบสามารถทำงานร่วมกันได้
3. การตรวจสอบและวิเคราะห์ผล
ทดสอบการทำงานของระบบผ่าน Firewall และ RADIUS พร้อมตรวจสอบผลจาก Authentication Log เพื่อวิเคราะห์ความถูกต้องของการเข้าถึงระบบ
4. เปลี่ยนแปลงระบบจริง
นำระบบไปใช้งานใน Production ผ่านกระบวนการ Change เพื่อให้สามารถบริหารจัดการสิทธิ์จากส่วนกลางได้อย่างประสิทธิภาพ
ผลการดำเนินงาน
เปรียบเทียบก่อนและหลังการใช้งาน
| รายการ |
ก่อน |
หลัง |
| การจัดการ |
จัดการ Firewall 120 ตัวทีละตัว |
จัดการผ่าน RADIUS ตัวเดียว |
| เวลาตรวจสอบสิทธิ์ |
40–60 นาที |
20–25 วินาที |
| เวลาแก้ไขสิทธิ์ |
60 นาที |
25 วินาที |
| ประสิทธิภาพที่เพิ่มขึ้น |
- |
เร็วขึ้น ~99% |
ผลลัพธ์เชิงกราฟ
ความซับซ้อนของระบบ:
- ก่อน: O(n) - เวลาในการดำเนินการเพิ่มขึ้นตามจำนวนอุปกรณ์
- หลัง: O(1) - เวลาในการดำเนินการคงที่ไม่ว่าจะมีอุปกรณ์กี่เครื่อง
โดยที่ x = จำนวนอุปกรณ์, y = ระยะเวลา
ปัญหาและอุปสรรค
- การเชื่อมต่อระหว่าง Firewall กับ RADIUS มีปัญหา - ต้องตรวจสอบการตั้งค่าและ Shared Secret ให้ถูกต้อง
- ข้อจำกัดด้านอุปกรณ์สำหรับการทดสอบ - จำนวนอุปกรณ์ในสภาพแวดล้อม UAT มีจำกัด
- ความแตกต่างของสภาพแวดล้อม UAT กับ Production - ต้องวางแผนการ Migrate อย่างรอบคอบ
ภาพรวมระบบ
สถาปัตยกรรมระบบ
- Firewall ทำหน้าที่เป็น Client ส่ง Auth-request ไปยัง RADIUS Server
- RADIUS Server ตรวจสอบ User Account และกำหนด Group-attribute
- Firewall ได้รับการยืนยันตัวตนและสิทธิ์กลับมา
สรุปผล (Conclusion)
การศึกษานี้มุ่งเน้นการปรับใช้ระบบยืนยันตัวตนแบบรวมศูนย์ด้วยโปรโตคอล RADIUS สำหรับการเข้าถึงอุปกรณ์ Firewall เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการสิทธิ์ผู้ใช้งานในองค์กร
ผลการดำเนินงานในสภาพแวดล้อมที่มี Firewall จำนวน 120 เครื่อง พบว่า:
- ลดระยะเวลาในการตรวจสอบสิทธิ์จากประมาณ 40 นาที เหลือเพียง 20 วินาที
- ลดเวลาในการแก้ไขสิทธิ์จาก 60 นาที เหลือ 25 วินาที
- คิดเป็นการลดลงมากกว่า 99%
- ลดจำนวนขั้นตอนในการดำเนินงานจาก 120 ขั้นตอน เหลือเพียง 1 ขั้นตอน
ส่งผลให้การบริหารจัดการมีความรวดเร็ว ลดความซ้ำซ้อน และเพิ่มประสิทธิภาพในการควบคุมการเข้าถึงระบบเครือข่ายอย่างมีนัยสำคัญ