足球竞猜app软件网络世界最近举办了我们的第一次对话,两位安全专家对网络访问控制。在这一点pro-NAC一边是乔尔·斯奈德(上图),反面是理查德·斯蒂农。乔尔是作品一该公司是AZ图森市的一家咨询公司,也是网络世界实验室联盟的成员。足球竞猜app软件自1981年以来,他一直从事网络和信息安全方面的工作,并著有多部著作。Stiennon是一位安全顾问,受欢迎的演讲者和Seccom Global.,一个托管安全服务提供商专注于统一的威胁管理。他写了Stiennon安全网络世界的博客。足球竞猜app软件以下是该事件经过编辑的完整记录。
主持人 - 朱莉如我们准备好开始了。欢迎光临我们的客人。
Richard_Stiennon:你好!
Joel_Snyder:Hiya大家!
主持人 - 朱莉:在我们开始对NAC的专业人员/缺点的意见之前,让我们定义该技术。乔尔,你对NAC的定义是什么?(理查德,乔尔回复后,我们将要求您对此问题的回复。)
Joel_Snyder:我对NAC的定义是什么?......好的,给我一个秒。
Richard_Stiennon:时间到了。
Joel_Snyder:NAC是以用户为中心的,基于网络的,访问控制。NAC更改我们如何进行访问控制。这是NAC中的AC。它是网络访问控制。这是“n”。使用NAC,您所允许的是什么=您是谁+您的端点安全状态+如何表现。“等于标志”也不是静态;它是f(),一个连续评估的函数。这不是离散数学;这是微积分。 Thus, What You Are Allowed To Do (ACCESS CONTROL) is continuously evaluated based on things that change, largely How You Behave.
简单来说,AC = Auth [Authentication] + EPC [End Point Control] + NBAD [Network Behavior Anomaly Detection]。任何使用NAC的人都必须决定这三个组件中哪一个是重要的,以及有多重要。因此,您可以拥有100% EPC和0% Auth和0% NBAD的NAC解决方案。你可以有一些是100% Auth和0% EPC和0% NBAD。你甚至可以有AC = 0%的情况,因为他们所做的只是得到一个报告。
如果你看看思科的原始产品微软的原创产品,他们都是关于EPC的。有0%的Auth, 0%的NBAD,甚至(在微软的情况下)0%的AC。每个人都被允许选择任何产品解决任何问题。这些人是早期的采用者,他们解决了一个老问题:公司网络上的坏咒。他们继续前行。如果他们没有,那也不是问题。我们有多个供应商,不是为了让每个人都能竞争同一美元,而是为了让问题有不同的解决方案。产品不可替代。问题是不同的。所有这些都很好。NAC是一项技术。 Not a product. That's my definition. .
主持人 - 朱莉:理查德,你对NAC的定义是什么?
Richard_Stiennon:天哪。我知道NAC很复杂,但我认为它更容易定义。比如:NAC是类固醇的访问控制。它将机器状态(如配置、病毒签名等)添加到访问控制等式中。这个概念是思科在2003年提出的,用来解决MSBlaster造成的问题:网络被带入工作的笔记本电脑感染。像其他类固醇药物一样,NAC容易导致心力衰竭,内出血,并发症,以及丑陋的外表。
主持人 - 朱莉好的,第二个问题:Joel,你认为NAC的价值是什么?(理查德,乔尔回复后,我们将要求您对此问题的回复。)
Joel_SnyderNAC之所以重要,有一个关键原因:它改变了我们的重心。多年来,我们把时间都花在了周边。然后我们开始往里面看。但我们一直关注的是IP地址:戳破防火墙漏洞,让IP A通过端口c到达IP B。IPsec也是如此。即使人们有机会做细粒度的VPN,没有人做,因为产品使它成为一个噩梦。我们来看看历史吧。
后来出现了SSL VPN,需要一个钩子,而这个钩子就是“每个用户策略”。没有工具,关于防火墙政策的所有喋喋不休是没有用的,突然间SSL VPN的家伙们掌握了它。为了我们的安全政策,我们可以把人们分组并关注用户——这是上帝的旨意。不是IP地址,是人。[注意:另请参阅vpn:六个棘手的问题]
NAC正在将这种以用户为中心的技术带入网络世界。它是一个用于进行以用户为中心的基于网络的访问控制的工具。这就是NAC,也是它如此令人兴奋的原因。当然,“用户”实际上是“用户”和“他们正在使用的设备”的总和,因为对于像我这样的网络人来说,用户和笔记本/台式机是同一个实体。NAC让我们把安保带到我们之前无法做到的地方。这就是NAC的价值所在。
主持人 - 朱莉: Richard,你认为NAC的价值是什么?你怎么回答Joel对这个问题的回答?
Richard_Stiennon呃,等一下,我来清理一下我的味蕾。我也是一个网络人,但我不想去我没有去过的地方。我同意NAC改变了焦点。它将其从安全性和网络转向基础设施和桌面。有损整体安全。
主持人 - 朱莉乔尔,你对理查德的回答有什么反驳吗?
Joel_Snyder你得跟我解释一下有什么坏处,因为我不明白。(他把门打开……)
Richard_Stiennon好吧,这么想。我们处在一个威胁越来越大的时代。我们有中国黑客在我们的网络中,内部人员窃取ID和信用卡,机器人和DDOS威胁。出于某种原因在思科,微软等的所有这些暴力变化供应商中希望我们能够阻止一切,并在机器和网络之间实现他们的特定品牌的绑定品牌。NAC根本不是安全解决方案。
Joel_Snyder你是在说零和游戏吗?如果我们花时间在NAC上,就不会花时间在中国黑客上?因为说实话,我不认为NAC不是安全的说法是站得住脚的。
Richard_Stiennon:你的赌注。据我所知,大多数首席信息官今年不仅没有额外的预算,而且还被要求削减开支。
Joel_Snyder访问控制是我们为安全所做的基本工作之一。
Richard_Stiennon我们最好弄清楚我们的定义;我对用户访问控制没有问题。我有很多端点访问控制的问题。
Joel_Snyder你是在暗示NAC是一个净成本。我相信这是一种净节省。
Richard_Stiennon我认为NAC是一种净成本,它降低了网络对企业的价值。
Joel_Snyder我不想谈这种"各持己见"的废话,但是……不,它不是,不,它不是。:-)
主持人 - 朱莉: Richard,如果NAC不是答案,那么什么是执行终端安全和其他政策的答案?(Joel, Richard回答后,我们会问你对这个问题的回答。)
Richard_Stiennon:哦,所以我们*是在*讨论终点强制执行?
Joel_Snyder:嗯,朱莉是。
Richard_Stiennon我以为赛门铁克、微软、BigFix已经解决了这个问题。我是一个网络达人。我不处理端点,除非我必须用端点。这是给客服人员的。
Joel_Snyder:根据MBlaster、赛门铁克、微软和BigFix的定义,它们并没有解决这个问题。
Richard_Stiennon所以对于终端强制执行,我建议与补丁管理公司进行沟通。对于大多数企业来说,MSBlaster基本上是一个零日漏洞。如果他们完全部署了NAC,他们仍然会被击中。
Joel_Snyder:绝对,像Bigfix一样的补丁管理公司,Lumizen(旧的ParkLink),它们是一些NAC部署的重要组成部分。那些需要终点安全性的人。并非所有NAC部署都需要终点安全性。(见上面的定义......)
Richard_Stiennon:所以要做NAC,你需要多个供应商的产品一起工作吗?
Joel_Snyder:要做网络,你需要多个供应商的产品一起工作。再次,NAC不是产品。这是一种技术,如动态路由。
Richard_Stiennon:对于网络,您可以使用TCP/IP等易于理解的协议让它们一起工作。这些供应商遵循的NAC标准是什么,以确保他们一起工作?
Joel_Snyder: NAC标准是一个独立的问题,真正完全正交NAC是否有用。我同意我们需要更好的标准,我们需要更好地遵守标准。
Richard_Stiennon:所以你必须有一个不需要互操作性的情况,比如一个全思科解决方案?
Joel_Snyder:没有。在Interop的iLabs,我们有十几个供应商,他们都在一起玩游戏。我不认为NAC是一种观点,一种技术。它不是一种产品。我可以整合并拥有一个包括多厂商互操作性的NAC解决方案。
Richard_Stiennon:我同意它正在变成一个宗教,这让我成为一名无神论者。
Joel_Snyder每个NAC解决方案都具有互操作性。75%的企业拥有思科。所以NAC必须解决这个问题。99.99%的企业拥有Windows。所以NAC必须解决这个问题。但是互操作性又一次使我们偏离了主要的问题,即:它有用吗?
Richard_Stiennon那么NAC是一种加强思科-微软双头垄断的方式?你的问题假设NAC值得你这么做。
Joel_Snyder:外观,互操作性是给定的。没有思科的帮助,它已被证明。让我们继续实现技术的有用性,而不是TCG / TNC是否将其行为在一起。
Richard_Stiennon:那么,NAC的有用目的是什么。这显然不是威胁保护。
Joel_Snyder如没有什么是明显的。正如我所定义的,NAC是以用户为中心的。基于网络的。访问控制。这很有用,因为我们以前从来没有过。
Richard_Stiennon那么为什么我们需要终点呢?用户访问控制从第一天开始就存在了。
Joel_Snyder:否,用户访问控制没有。是的,当然我们有身份验证。看看LAN中有多少人使用802.1x。不太多。为什么?好吧,客户吸了。得到了固定的。人们害怕它,因为分析师公司告诉他们。而且,最重要的是,我们没有真正的工具来管理它。
Richard_Stiennon我在14年前就开始配置RADIUS了。这是必要的,也是有效的。
Joel_Snyder:半径并不意味着我们知道谁在墙上的一个洞的另一端。
Richard_Stiennon:所以NAC是部署访问控制问题的答案?
Joel_Snyder身份验证本身很有趣,但还不足以让802.1X的痛苦值得承担。每个人都知道一项新技术有利有弊。如果痛苦大于好处,那么它就不会被吸收。就是这么简单。NAC让我们将一堆不同的组件(802.1X、以用户为中心的策略、端点安全、IDS/NBAD)整合在一起。这就是我们所缺少的。这就是今天能得到的。那就是我们要去的地方。这就是NAC有趣的原因。这就是人们兴奋的原因。
Richard_Stiennon让我们来谈谈NAC的痛苦。
Joel_Snyder你为什么老是回避它是否有用的问题?疼痛。互操作性。让我们专注于一个话题。
Richard_Stiennon我知道你很喜欢微软的NAP,乔尔,所以我花了些时间看了看。我吓坏了。看看所有这些组件!用于运行系统健康验证器、SP3及以上机器上的系统健康代理的2008服务器,对于IPSec,您需要在另一台Win08机器上额外的健康注册机构(与您的CA相同?),并在每个桌面和服务器上运行IPSec依赖方EC。(我甚至不确定这些是什么,但有单独的无线和有线访问。)
那么,在建立IPSec连接时,会有一个颁发健康证书(x.509)的服务器?是在第一阶段之前还是之后?第二阶段吗?是否每次会话后证书都被吊销?如果SHA确定端点不再符合规定,会发生什么情况?是否会破坏IPSec隧道?证书是否已撤销?这些东西是如何相互交流的?他们使用什么协议/端口?我不想在没有支付咨询公司数百万美元的情况下部署这样的东西。 Scary stuff. .
Joel_Snyder我不知道如何回答这个问题。“我不认为你领会到了NAP的意思?”没有人对IKE v1中的NAP特别感兴趣。NAP的有趣之处在于,它拥有一种标准架构,用于端点遵从性如何与网络和PDP交互。
Richard_Stiennon:那么你如何检查某人的机器状态时,他们正在VPNing ?
Joel_Snyder:SSL VPN Guys为五年来策略了。
Richard_Stiennon:您只是说标准不是对NAC的价值讨论的一部分。
Joel_Snyder是你提到NAP的。我还在努力让我们继续讨论有用的话题。看,这是一种技术。许多企业使用它,但是他们如何使用它和在哪里使用它取决于他们想要解决的问题。在我看来,你对NAC的看法就像你进来说动态路由不好,因为RIP不能扩展。好吧,你在这两方面都错了:对于一些不需要规模的人来说,安息是可以的。而且RIP不是动态路由,就像询问端点是否被感染不是NAC一样。
Richard_Stiennon:好的,让我们以一些案例来讨论其有效性。
Joel_Snyder:好的。蓝岭的人昨天给我发了11个名单:-)
Richard_Stiennon:请提到一个不是埃杜或密尔的。
Joel_Snyder埃杜和米尔有什么问题?
Richard_Stiennon拥有一个满足教育和军事需求的产品不是一个企业市场。这是利基。
Joel_Snyder:这是一个Frickin'巨大的利基。但是,让我们下车。
Richard_Stiennon:对于那些提出这个问题的人来说,是的。
Joel_Snyder好,这里有一个简单的例子,一个为一群小的子组织提供IT服务的组织。
Richard_Stiennon: MSSP[托管安全服务提供商]?
Joel_Snyder:不 - 让我们说这是美国的大国之一,它是一个半外包IT部门。每个子部门,如参议院,房子等,是一个交战派。事实上,每个参议员都在彼此战争。在这种特殊的情况下,我们解决的问题是,无论他们在首都哪里,每个参议员/代表/员工都需要“在他们的局域网上”。
Richard_Stiennon:网络细分的伟大应用。IP层网络vdom内部的vlan。
Joel_Snyder:不,VLAN不起作用。在这种情况下不扩展。但如果没有数百人,VLAN会有效。无论如何,这无关紧要。重要的是,网络用户可以放心,他们没有连接到网络的错误部分。NAC帮助了。我们让他们验证,分配了一个组,群体暗示了ACL。
Richard_Stiennon: 不好了!不是ACL!你吓到了我。您用什么来强制执行,管理,记录这些ACL?
Joel_Snyder听着,你要不要继续谈这个话题?我们在这里讨论的是实用性。而不是他们购买的产品。
Richard_Stiennon:这是有用的,但应该通过网络解决,而不是主机代理和单独的服务器。它多少钱???
Joel_Snyder这是一种需要。需求得到了满足。我们使用了NAC技术。在本例中,没有主机代理。结果,令人惊讶的是,这些人使用的是Windows,而微软似乎已经放弃了他们需要的东西。我不知道总成本。记住,那是一个州立法机关。和黑鹰直升机和私人飞机一起藏在预算里。但我可以这么说。没人需要授权来花钱,因为钱并不多。
Richard_Stiennon:那么,你是说使用现有的技术来实现你的目标是好的吗?
主持人 - 朱莉我们还有一些与会者提出的问题,所以我们将在剩下的时间里尽量回答更多的问题。
lucas_burke在高等教育中,用户通常可以将任何设备添加到网络中。你没有奢侈的企业级控制。对我来说,NAC可以同时解决很多问题,比如跟踪我的网络上被盗的设备,执行病毒标准,关闭流氓无线ap等。理查德:有比NAC更好的方法吗?我很想听。
Richard_Stiennon我对高等教育放任自流的网络管理有一个很大的问题。任何协议,任何动作都是允许的。通过部署NAC,你可以绝对控制一个错误配置的笔记本电脑/服务器,但你拒绝放入所需的控制,以阻止他们入侵!或者滥用你的系统。在大多数大学里,卫生系统已经转移到安全的环境。公司的其他部门也应该关注这个问题。
丹尼我认为我们必须把“终端安全”作为南汽的主要传统目标。允许干净的访问网络。我研究了几个NAC解决方案,似乎没有可行的方案没有真正的代理商。有些可能会腐烂。我确实对Joel之前的评论有一些异议,因为如果一个特定的NAC解决方案使用交换机作为私有协议的实施点,我不认为“互操作性是给定的”(看看思科、北电和Juniper这些小公司的名字)。
Joel_Snyder丹尼:我同意你想专注于自己的终端安全。正如我在上面所写的,你需要解决的问题就是你要解决的问题,如果你想专注于终端安全性,那就简单地说,当你评估产品时,你想专注于什么。提前知道你想要做什么将大大节省你的时间。实际上,Juniper和Cisco肯定会使用基于标准的RADIUS属性。因此,当我说“互操作性是给定的”时,我的意思是它是给定的,因为我们在Interop中证明了它。看到的,http://www.opus1.com/nac我们的结果。(我没有提到北电,因为他们不玩,所以我不知道他们是否符合标准)
phreno当前位置理查德:一些NAC产品提供行为政策执行。我可以获得身份、端点检查和行为策略执行,以阻止僵尸网络、DDoS攻击等找到进入网络的途径。还有什么技术可以提供这种功能?
Richard_Stiennon:好问题。这就是IPS/AV行业的发展方向。允许被感染的端点连接,但不要让它伤害我。过滤掉边缘攻击。您在一些“NAC解决方案”中提到的能力是他们所称的准入后控制。这很好,但是操作应该是丢弃数据包,而不是端点连接。
查克当前位置我公司的问题之一是人们担心供应商和承包商会插入位于数百个地点之一的局域网接口,从而将恶意软件传播到整个网络上。当你有这么多的位置,你需要能够检查所有的流量时,你如何解决这个问题(负担得起)?
Joel_Snyder我通常所说的“客户访问”是人们研究NAC的主要驱动力之一。请记住,根据我的定义,如果您只想解决客户访问,也可以。
Richard_Stiennon做起来很简单。只需对网络进行身份验证!
Joel_Snyder这里有两个子主题。一种是客人需要在室内,另一种是客人需要在室外。如果客人去外面,你就有很多简单的选择。一是你可以认证合法用户,任何不认证的人或者不在MAC OUI列表上的人(比如VoIP电话,打印机)都会被丢弃在防火墙外或DSL一次性线上。
如果客人进去了,就更难了。您可能希望在这里区分需要内部访问的客户机和承包商。但是,您可以通过简单地识别交换机并执行捕获门户身份验证,将一堆CHEAP访问控制放到已经拥有的交换机上。你可以向思科支付类似CCA(思科清洁接入,但该产品现在被称为思科NAC Appliance)的费用,或者使用类似解决方案的开源软件,但这只会妨碍客户。
lucas_burke理查德:除了网络和桌面,从信息安全的角度来看,NAC是否降低了整体风险?
Richard_Stiennon我认为南汽没有降低整体风险。它不会对抗恶意的(或愚蠢的)用户。它不能阻止黑客入侵经过认证的机器,也不能对抗零日蠕虫。它实际上根本不是一个强身份验证解决方案,所以您仍然需要将其分层。
Joel_Snyder我能引用《周六夜现场》的台词吗?简…
Richard_Stiennon你这个无知的家伙?
Joel_Snyder我们就说“我不同意”吧。如果你能否认它并不能降低风险,那么我就会提出相反的主张。
Richard_Stiennon好的,乔尔,你会怎么做来防止终端用户对域控制器进行DDoS攻击?或者嗅出窃听器,窃取账户,然后进入Oracle数据库?
Joel_Snyder:“看情况。”
Richard_Stiennon: NAC会是你的答案吗?
Joel_Snyder一个是域控制器应该用它自己的技术来保护,包括一个带有一些反dos技术的防火墙。
Richard_Stiennon所以你还需要分层安全?即使你在NAC上花了一大笔钱?为什么不做好安保工作,继续前进呢?
Joel_Snyder:实际上,该防火墙应该大约10年前安装。
Richard_Stiennon在埃杜不是这样的。
Joel_Snyder: NAC并没有解决DoS对DC的问题。
Richard_Stiennon:或恶意用户做任何事,或任何不正当的行动,如注入感染的网络!
Joel_Snyder如果恶意用户知道自己每次在网络上都被明确识别,那么他们在做某事时可能会三思而后行。实际上,NAC对感染很有帮助。
Richard_Stiennon:嘿,这不是我,你的NAC只是没有看到我的机器上MSBLAST2009的副本。
Joel_Snyder因为NAC包含了端点遵从性和端点行为的持续评估功能,NAC为我们提供了工具来剔除行为不端的人。
Richard_Stiennon:宿主AV对感染有很大帮助。我刚花了几百万。你是说我还需要别的东西才能让主机AV正常工作吗?这是怎么回事?
Joel_Snyder如果没有NAC,我们就没有这些工具,否则我们就只能使用专有产品来解决点问题。是的,你需要强制执行。这是NAC中的AC。
Richard_Stiennon我已经有那些产品了。为什么我需要微软到处去执行它们?
Joel_Snyder我看过的每一个NAC部署,以及我听说过的每一个人,都有一个令人惊讶的因素。
Richard_Stiennon:嗯?
Joel_Snyder令人惊讶的是,不兼容的个人电脑是如何与主机AV。他们会告诉你,他们对自己的合规水平如此之低感到惊讶。还有把它弄起来有多难。
Richard_Stiennon:那么为什么不捍卫那些具有一些活跃的网络技术的机器?
Mike88这个问题是针对Joel和Richard的:我的公司目前正在评估一种解决方案,以控制用户访问,并确保机器在连接到我们的网络之前是兼容的。我目前的杀毒软件供应商能够提供集成的NAC功能来解决这些问题。你认为将反病毒和NAC结合是一个好策略吗?
Joel_Snyder: Mike88:我认为,如果您喜欢EPC(端点遵从性)作为您的NAC解决方案的一部分,那么将其集成到NAC中是一个简化部署的好方法。如果你的A/V供应商将给你NAC便宜或免费,请他们在它。
Richard_Stiennon你必须回答几个问题。你有独立的网络和桌面部门吗?或者他们是同一个人。别忘了Mike88,通过基于配置阻止访问,你将有大量新的支持呼叫。正如Joel指出的,大多数机器都是不兼容的。这样的痛苦值得吗?
Joel_Snyder:NAC并不意味着阻止。随着一些公司所做的,您可以进行报告。
Richard_Stiennon:它意味着隔离和修复没有?否则我们在这里做什么?
Joel_Snyder:这是一个明智的第一步。这取决于你可以放在头脑中的照片多大程度上。身份验证,隔离等并不一切都是自动化的。对于一些企业来说,前门有一个带有夜间夜间的Pudgy的家伙是“认证”。NAC是一种解决方案,而不是产品。在你的头上纹身。NAC是一项技术。把它放在另一个脸颊上。
Richard_Stiennon:NAC是一个问题,而不是解决问题。
xyz:Richard - Access Control的一部分是资源分配后身份验证和成功授权。我们如何从网络级别实现这一点而无需大量ACL管理?
Richard_Stiennon:好问题,xyz。你需要集中IAM(识别和访问管理);有很多很棒的解决方案。Gartner有一个关于IAM的会议。我也会避开NAC。
Joel_Snyder:我也跳了一下。肖恩·康弗里刚写了一篇关于NAC的论文。(他不想叫它NAC,他叫它认证网络架构——ANA)。不管怎样,他的观点是,你不需要拥有超细粒度的acl来大幅降低风险。
Richard_Stiennon:*我的* Point是您需要达到细粒度的访问控制来保护您的企业。
Joel_Snyder:细粒度是一个光谱。你不就是那个提倡vlan的人吗?我的意思是,如果你有粗略的控制,即使是去/不去,也能降低风险。
Richard_Stiennon:我们同意。
Joel_Snyder你必须用像Chris Hoff或Pete Lindstrom这样的人来计算出花在哪里的边际美元是值得的,以减少边际风险。NAC可以同时容纳所有这些。
Richard_Stiennon:我只是讨厌NAC的“没有去”意味着你被踢开了网络。
Joel_Snyder我们在无线网络上一直都是“不去”。这是南汽。802.1X认证(隐藏在WPA中)。如果你不这样做,就没有人脉。
Richard_Stiennon: NAC的定义泡沫正在扩大。
Joel_Snyder: AC = auth + EPC + NBAD。相同的定义。但0%的EPC。一切都是一致的。
Richard_Stiennon这个网站的政策是什么????这是访问控制最关键的功能。政策的政策,政策。
丹尼Richard:你之前就用户访问控制和终端访问控制做了一个有趣的评论。你能详细解释一下吗?具体来说,基于用户的访问控制如何帮助防止网络上的受感染计算机?特别是考虑到移动“用户”谁可以登录从各种终端进出局域网?
Richard_Stiennon事实上我不在乎被感染的机器。如果用户进行身份验证,您关心的是他们在哪个组中,以及要授予他们什么特权。他们的机器是另一个问题。过滤掉不好的东西。
丹尼乔尔:你认为NAC技术对移动设备操作系统、mac和Linux的适应程度如何?
Joel_Snyder丹尼:“不太好。”让我来详细说明。显然,主要关注的是主要的部署问题,即Windows系统。所以很自然地,他们被处理得比其他任何事情都好。此外,因为EPC对任何遵循Rich的NAC战略的人来说都不是0%,人们一般更关心EPC和EPS,而不是Treos和黑莓的(不是说这是正确的,但我们只能打最后一场战争,对吗?)
所以我希望更好地支持非Windows设备(这是真正的问题)和需求,它会来。在纯粹的认证意义上,他们已经得到了很好的支持。
Richard_Stiennon以下是我对NAC的问题:
1.这根本不是一种安全解决方案。任何NAC产品都没有一个单独的方面可以保护网络免受恶意用户的攻击。
2.这不是零日保护。在下一次爆发期间,NAC不会采取任何措施来保护网络。
3.它引入了一种新的技术层,其目的是阻止对网络的访问。网络管理员把大部分工作时间花在让人们上网上。引入一些让他们远离网络的东西是没有吸引力的。
4.绕过NAC几乎是微不足道的。你要做的就是贿赂本地特工。
5.它违反了Stiennon的网络安全第一定律:永远不要相信终端会报告自己的状态。
主持人 - 朱莉我们现在没有时间了。我们还有几个问题要提交给Joel和Richard在他们的博客中回答。
Joel_Snyder:我是反博客。没有一个,抱歉:-)但我确实有电子邮件......您可以通过打字“Joel Snyder”来点击“我感到幸运”进入谷歌。
主持人 - 朱莉:此聊天的成绩单将在24小时内提供m.banksfrench.com.还在m.banksfrench.com/chat/和microsoft子网的归档部分中(www.microsoftsubnet.com)及思科子网(www.ciscosubnet.com.).也请加入我们接下来的聊天。都在东部时间下午2 - 3点//m.banksfrench.com/chat/
星期三,7月30日-与吉姆麦茨勒实施广域网加速
星期二,8月19日 - Facebook:朋友或敌人?带斯科什
Richard_Stiennon:再见,谢谢你的加入。
Joel_Snyder:再见。保证它的安全。什么的。
也可以看到这些最近的聊天记录
与Markus Jakobsson和Zulfikar Ramzan合著的《犯罪软件:理解新的攻击和防御》
局域网交换机安全:黑客对你的Christopher Paggen交换机的了解