网络访问控制供应商通过端点安全测试

一个NAC的主要承诺之一是，你可以确保端点安全工具是最新的和不合规的计算机可以识别或阻塞。作为合规的重要性不断增长，NAC厂商已经通过建立针对端点安全和法规遵从强大的功能集反应。在我们的测试NAC，我们有很好的，有时候很大，一刀切的结果，当它来到的端点安全。

网络访问控制的主要承诺之一是，您可以确保端点安全工具是最新的，并且可以识别或阻止不兼容的机器。随着法规遵从性变得越来越重要，NAC供应商已经通过构建强大的功能集来应对终端安全和遵从性。在我们的测试NAC，我们有很好的，有时候很大，一刀切的结果，当它来到的端点安全。

纳克:哪里出了问题?

我们创建了一个非常基本的端点安全策略，然后检查，看看是否我们可以实现我们的NAC产品这一政策。我们也看了看端点安全，NAC产品的能力，以处理系统异常行为的变化。例如，如果一个典型的，标准的，桌面开始尝试蛮力突破到其他系统通过猜测密码，这将是一个错误行为，我们想检测。无论是台式机被感染，或用户被恶意作用，它仍然行为不检和NAC可以帮助制止它。

我们发现有些产品可以处理我们的政策，而有些则远远超出了我们的要求。阿尔卡特-朗讯SafeNAC，布拉德福德网络岗哨，Enterasys NAC, ForeScout中和McAfee NAC都是开始的如果你想在你的终点姿势评估中深入深入。好消息是每一款NAC产品都通过了这次测试的主要部分。我们能够把我们的政策，或者近似的，我们能够成功地检测出不兼容的Windows 7系统。不是每一种产品都能完全符合我们的政策，但我们在每一种情况下都能做到非常接近。

Macintosh的支持是spottier。大多数产品有一定程度的Mac的支持，我们能够找到我们的安装Sophos的反病毒与每一个产品，虽然不一定容易。例如，阿尔卡特朗讯安全NAC不知道反病毒工具，所以我们不得不手艺基于检测的Sophos在客户端运行的其他方面的政策。

总体而言，苹果OS X的支持比所有产品支持Windows弱得多。这既反映了NAC端点状态评估的合规性方面以及一般放任态度，以端点安全工具常见的苹果社区。

除了基础知识

除了基本的端点安全态势评估之外，我们还发现了产品之间的许多差异。困难的部分是试图找出哪些差异重要，哪些不重要。我们从最高层开始，发现了实现端点安全性的两种主要方法:使用在端点上运行的客户机，以及使用试图远程检测端点安全性状态的扫描工具。

多项产品，包括Avenda eTIPS，布拉德福德网络哨兵，思科NAC设备，Enterasys公司NAC和ForeScout的抵消，实际上结合这两种技术，尽管有警告：组合可以闹剧。

同时使用端点客户机和端点扫描器的问题是，真正的漏洞扫描器是复杂和昂贵的动物。例如，我们测试的一些产品内置了最著名的漏洞扫描器Nessus。不幸的是，Nessus的许可和收费模式在2006年发生了变化，使得更新Nessus变得不现实——留给NAC供应商的是一个已有4年历史的Nessus版本和一套过时的扫描规则。

这不仅仅是Nessus的问题;这是一个问题，网络管理员是否照顾NAC管理系统也准备好管理漏洞扫描系统。例如，Cisco在他们的NAC设备中包含了Nessus，但是一位Cisco系统工程师轻蔑地告诉我们“没有人使用我们的Nessus。”这并不奇怪，这也不是思科的错。其结果是，包含所有类型网络扫描器的产品在某些方面都很擅长，比如检测开放端口和操作系统，但在实际进行远程漏洞扫描方面往往不那么擅长。

当扫描是非常有限的范围内，它是寻找，肯定有有用的信息可用的NAC产品。我们最喜欢的一个例子是Trustwave NAC的扫描工具。在构建NAC策略时，可以定义一些端点安全特性，如“没有运行未经授权的邮件服务器”。如果你设置了这个策略，Trustwave NAC将扫描连接到网络的设备，专门寻找邮件服务器。

有时候，检测端口和操作系统在端点姿态评估上下文之外是有用的。例如，当NAC部署必须包括嵌入式设备(如打印机或VoIP电话)时，最好让外部扫描器尝试并验证该设备到底是打印机还是电话。

作为一般规则，外部扫描是有用的，但它不如设备上的代理那么好。

第三方姿势评估

当我们专注于客户，我们发现了两个更多的选择：NAC产品具有自己的安全态势跳棋，以及那些让你在其他厂商的跳棋插头。我们发现，标准化的端点安全检查的承诺，什么厂商实际上是提供之间的巨大脱节。在我们的去年南京汽车测试在2007年，各主要厂商很乐意给我们一个TCG兼容插件或思科兼容的插件，或两者兼而有之。今年，这些产品干涸，一对夫妇的原因。

最明显的原因是，主要的终端安全厂商都有自己的NAC产品，所以他们对帮助竞争对手不太感兴趣。但这不是唯一的原因。由于微软积极的安全程序，在一些情况下NAC插件根本不需要，特别是当端点安全策略非常简单的时候。

Windows安全中心，内置到最新版本的Windows中，通过消除终端安全产品对NAC插件的需求，帮助NAC供应商。有了windowsnap客户端——由Microsoft NAP、Juniper UAC、Avenda eTIPS和HP NAC支持——端点安全供应商就不必了解nh。他们只需要将信息提供给Windows安全中心，微软的NAP客户端就可以使用。

常见的工具包导致常见的问题

我们自己的安全策略非常简单，几乎适用于所有产品。由于我们选择了Sophos作为我们的反恶意软件解决方案的测试对象，我们对兼容系统的策略是打开个人防火墙并安装、启用和更新Sophos。要使这项政策生效，我们遇到了令人惊讶的问题。原因是许多NAC供应商实际上并没有编写他们自己的端点安全检查器。一家名为OPSWAT的公司已经垄断了终端安全态势评估软件的市场，许多NAC供应商都在使用OPSWAT工具包。

我们发现，Sophos在2009年10月向我们提供了一个新版本的反病毒软件，它的发布周期与NAC供应商支持该软件的速度之间存在脱节。我们的测试是在1月到4月进行的。在我们测试的产品中，大约有一半与2009年10月版的Sophos杀毒软件不兼容，这主要是因为他们在将新的OPSWAT技术整合到自己的产品中时落后了。

瞻博网络，这是我们在一月份进行测试，使用OPSWAT和支持Sophos的V9，所以这不是OPSWAT的错。但是，它带来的安全漏洞的光一个使用内置的第三方工具来看看你的端点安全合规性第三方扫描仪：你可以在升级或更新计划举行回来，如果任这些公司的拖动它的脚在错误的时间。

我们没有问赛门铁克和McAfee寻找Sophos的（虽然迈克菲自愿这样做），因为这没有任何意义：如果你是一个赛门铁克或迈克菲NAC客户，你这样做是因为你还赛门铁克或迈克菲终端安全的客户。当然，这两个公司在检测自己的产品是伟大的。虽然这不是一个端点安全审查，如果是，迈克菲的ePolicy Orchestrator会对它的端点一致性检查和管理工具，大量的广度韩元。

不过，我们测试的产品组成了一个不错的端点安全检查程序范围，从微软NAP提供的相当简单的工具，到阿尔卡特-朗讯的Safe NAC、Enterasys NAC和McAfee ePolicy Orchestrator更全面的规则。

端点姿态检查的另一个方面是已安装和未安装(通常称为“可解散”)姿态检查客户机之间的差异。大多数产品都有两种功能，一种是为工作人员预留的已安装的姿势检查器，另一种是为客人或临时用户提供的可在网上使用的可分解的。我们的测试集中在已安装的客户端上，因为我们没有看到大多数企业NAC部署大量使用可解散的客户端。

我们做了一些可溶解客户的测试，结果令人失望。例如，我们尝试在Windows 7系统上使用Trustwave的可解散客户端。好吧，Trustwave使用OPSWAT，而且他们的OPSWAT实现需要Java，但是Java默认不安装在Windows 7上。这意味着我们必须下载Java，安装在我们的Windows 7系统上，然后我们才能被扫描。但不要认为Trustwave或Windows 7是独一无二的。

利用McAfee的可溶解客户端用于Macintosh，我们必须下载一个17MB的shell脚本，进入终端会话将它设置为可执行文件，运行它创建的虚拟磁盘，双击内的应用程序的shell脚本，双击虚拟磁盘，忽视了一个不祥的冠冕堂皇的错误消息，并且让它安装端点扫描仪的80MB价值 - 是暂时的，因为它自去安装。有观点认为，访客用户可以扫描是在纸面上伟大的，但这样做的一个好工作的物流在我们的测试中从未工作非常出色。

不是misbehavin”

我们的最后一次测试看着检测端点的不当行为，如端口扫描或密码猜测攻击，被动应付。令人惊讶多项产品，包括阿尔卡特 - 朗讯安全NAC，布拉德福德网络哨兵，Enterasys公司NAC，ForeScout的抵消，HP网络免疫管理，瞻博网络UAC和Trustwave NAC，有一些功能，让我们有我们的政策系统的不当行为。思科NAC设备没有这种直接的支持，但它暴露，将有我们编写一些代码来的IPS连接起来的NAC设备的API。

由于ForeScout中和Trustwave NAC都包括交通监控设施，他们的系统不当行为检测是内置的。这两种产品都更关注异常行为，而不是特定的id签名。令我们惊讶的是，McAfee N-450没有这个功能，因为McAfee N-450硬件也在McAfee的IPS设备中使用。但很明显，它们唯一的共同点是硬件——在N-450的NAC版本中还没有McAfee IPS功能。

Juniper UAC支持使用自己的ip(我们测试的ip)或用于安全设备之间通信的IF-MAP标准来输入异常行为和IDS。与Juniper一样，Enterasys也支持自己的行为错误检测id。阿尔卡特朗讯(Alcatel-Lucent)和布拉德福德(Bradford)可以从IPS设备接收警报，但将这些警报转换为主动NAC反应操作所需的工具非常繁琐。

最全面的第三方IDS支持来自惠普，他们的网络免疫管理附加到NAC和交换机管理工具。我们有SonicWall的NSA安全设备进行了测试和验证的网络免疫管理器把IPS警报到NAC行动的能力。

难以评估

端点安全态势评估的另一个特征，持续的策略实施，我们发现很难评估。持续实施背后的理念是态势评估不是一次性事件，而是应该在端点连接到网络时持续检查和实施。

我们有困难的时候测试连续执行，因为它是如此依赖于其他因素，例如身份验证是如何处理的，以及是否在客户端上安装了终点。出于这个原因，我们不能得出关于连续状态评估如何很好的支持，或者产品没有比别人更好的工作的任何结论。

我们结束了关于连续实施的两个软弱无力结论：每一个产品包含一些功能做持续的政策执行，但每一款产品也有显著的使用情况下，持续的策略实施是不可能的或不切实际的。

从网络管理员的角度来看，我们建议你看你是否要连续执行或无法启动。如果你这样做，然后选择一个支持你的决定一个NAC产品。但是，你必须在你的NAC部署的决定几乎所有的其他因素，才能得到这一点。这是一个艰难的位置是在，但我们遇到了在我们的测试中的变量是如此疯狂，我们不能做任何一般，甚至特定语句。你必须要测试这个自己。

结论

虽然NAC往往晋升为端点的安全合规战略的一部分，还是有一些差距的网络管理人员需要知道的。当你的姿势遵从策略很简单，和你愿意安装客户端，你必须为我们的测试中表现出良好的成功。如果你有一个复杂的政策，它可能是更好的依赖于工具，如BigFix的，Lumension或微软WSUS，它可以集成到许多NAC产品，而不是试图推出自己的合规性检查。

回到主测试。