Joel_Snyder.:Mac auth Bypass是非操作系统设备的最强大方法。您可以使用具有良好的强大访问控制(即,手机只能表现为手机,因为有一个ACL和防火墙,并且可以使用像一个大湾箱等设备分析器备份。对于非窗户,更难的问题。这里的大问题是你必须说出你对NAC部署的重要性。你是关于终点安全的吗?如果是的话,这对Mac是什么意思?或者如果它是关于访问控制的,那么为802.1x焦点为这些小狗。我不会为可以执行802.1x或有浏览器的iS给oS来做Mac auth旁路。如果你想滥用他们,我会在俘虏门户中做出802.1x或者将它们转储。
主持人 - 基思:滥用“最终用户”而不是设备,对吧?:-)
Joel_Snyder.: 正确的。每次坐下时都会击中俘虏门户。在我的书中,这是虐待。
糊状物:您如何确保,即IP手机的基于MAC的Auth,不会成为NAC网络中的黑客最喜欢的安全漏洞?只是用思科或北电IP手机的Mac欺骗Mac,你在,对吗?
Joel_Snyder.:嗯,你最好不要“在”。正确的?你必须在你进入时控制,所以如果你在说你是一个电话,那么你最好是弓形或vlaned或任何东西,以便你只能像手机一样。如果您只需使用完全访问权限将手机转储到网络上,那么您就没有获得了NAC,访问控制部分。对不起帽子。无论如何,是的,那么黑客仍然可以通过您允许她的任何港口和协议来徘徊,但是通过使用if-map(在未来)或像一个大湾框(今天)的东西处理那样并让基于行为的信息修改您的策略决策。
ronm20747:我们正在寻找明年的实施NAC。我们已经通过VPN进入了用户并使用RDP到达桌面。用NAC处理的推荐方式是什么?
Joel_Snyder.:这取决于防火墙。如果您是防火墙,以便他们只有RDP,那么终点健康就没有很多问题。当然,有人可以在客户端上的RDP上刮筛,你可能不知道它,但这是一个非常不寻常的情况。我会说,如果你已经走了Citrix-y或RDP,桌面真的很重要,那么就在“结束”桌面上做一个正常有线NAC(他们是rdping的那个),不要担心对VPN上的最终用户如此多。您已经在执行身份验证和防火墙上。他们可以“真的”是什么危害,这是值得nac的努力?或者:使用SSL VPN与所有SSL VPN产品中的端点主机检查器之一进行。这为您提供了以用户为中心的访问控制和健康检查,这是NAC的本质,我写了一个故事说SSL VPN与NAC相同。
糊状物:TNC似乎已经朝着正确的方向走了很长一段时间。他们在IETF工作组领先地位。微软似乎也很开放“TNC方式”。但思科一直说他们的口头禅,“我们与NAC合作,在IETF中,它似乎只是卖目前销售专有的借口。IETF TaskForce发生了什么事?我们什么时候可以预期从中看到一些实际标准?他们会被行业采用吗?它是否会与IETF标准名称拒绝TNC?
Joel_Snyder.:我不得不说我对整个IETF的事情感到非常沮丧。我对这个旧IETF Stalwart的Jim Martin有很长的争论。问题是IETF专注于TNC已经完成的内容,并且在TNC未被覆盖的区域中没有打破新的地面。所以我们结束的是重新思考同一协议,基本上是在我看来巨大的浪费时间。我不了解思科的思维,但我们在IETF和TNC中使用相同的DARN协议。但是我们所需要的是IETF伙计们要做一个大型图片,就像他们在RFC2401中使用了IPSec一样。那肯定很棒。但我并没有坚持希望。我对此感到沮丧。叹。
搁置:是否有任何良好的网络管理工具,您可以建议监控和故障排除基于802.1x的NAC部署?
Joel_Snyder.:谈谈NAC的黑暗和尘土飞扬的角落。你找到了最丑陋的一个。斯兰克米饭正在击中我NAC日[在Interop],谈论故障排除作为最后一个边界。简短的答案:没有好的答案。康复。查看像Splunk这样的工具,以使所有日志一起获取并真正搜索。我不认为SIM比是这里的答案,因为它们不是关于调试,所以你想要一些可以进行结构化搜索的大量日志聚合器。
主持人 - 朱莉预先提交的问题:嗨。我们的需求大多数套件,我们已经看过几种NAC产品,特别是身份驾驶经理,惠普,我们的需求大多。但是,我们遇到了一个问题是,在边缘交换机上启用RADIUS身份验证禁止客户端用PXE服务器检查。我们在所有机器上使用PXE以便在线上重建。虽然我意识到这是一个缺陷在交换机上的RADIUS身份验证内,我真的想知道其他产品可以帮助我们解决这个问题吗?谢谢,标记。
Joel_Snyder.:PXE是NAC的黑暗角落之一,所以我明白你来自哪里。PXE的情况是您有一个想要上网的设备,但它只有MAC地址。此外,它有一个非常紧密的DHCP定时器,如果您没有快速地在网络上播放,那么您有问题,它会失败。你可以在这里接受两种方法。首先,您可以使用Guest VLAN,第二个是您可以使用MAC身份验证旁路。
我不知道是一个或另一个是“更好” - 听起来你可能希望看到你的交换机兼容哪一个。但是,要么可用于解决PXE问题。在我们的实验室中,我们使用Mac auth Bypass,因为我们必须知道MAC地址,以便将其进入PXE服务器,因此我们只是将其放入RADIUS数据库并将这些用户指向特殊的PXE VLAN。如果你不想要,你不必是专门的。您可以将它们粘贴在与其他MAB设备相同的VLAN中(例如,打印机)。这将取决于你是多么严格,以及你在其他地区的mab做什么。
WillBean11.:这可能与NAC无关,但我想知道Joel的思想是什么在IPv6上,最新的“我们注定”的颂歌。天空是否落在IPv4上?
Joel_Snyder.:实际上,天空正在下降。我在一些邮件列表中,没有关于这一点的论点,但没有人争议IPv4不在空间中。问题是在它发生时我们将要做的。我预测街道上的骚乱和广泛的暴力。那样,加上了很多IP地址盗窃。显然,我们将能够长时间脱离这一点,但诚实地,我们现在已经用出了可寻址的互联网空间,所有这些设备现在都上涨,NAT不会永远解决它。所以你可以弄清楚你是如何解决它的几年前几年,或者你可以等到你的ISP突然说“不,没有更多的地址”,然后恐慌。我赞成恐慌的方法,但有些人想要提前计划,并且是合理的,并思考。
WillBean11.所以你不购买我们有很多地址的论点,它只是囤积他们的ISP?(那是我听到的一个理论)
Joel_Snyder.:我不买它。我在上周末帮助一个客户可以通过另一个/ 29个空间(大图中没有什么)和ISP所说的,“没有交易。你不能拥有它。”他们有一个拥有更多空间的新ISP,但他们也用完了。是的,有一些斜坡和浪费和未使用的地址(看互操作的45/8!),但有一个结束。32位对拥有60亿人和12亿手机和WII的世界来说是不够的。
主持人 - 朱莉预先提交的问题:你好乔尔,它来自La Reunion。您是否测试了HP NAC / IDM解决方案?最好的问候,埃里克
Joel_Snyder.:我没有机会测试IDM的东西。我有几个简报发布,肯定是PowerPoint令人印象深刻。整个想法身份驱动管理器(IDM)是您可以向NAP NPS服务器添加策略。那对我来说,是完全踢的屁股。NPS是一个很好的小框架,但在您尝试并在访问控制方面尝试令人兴奋的事情,然后遇到砖墙。NPS更专注于修复/终点合规生命周期。
因此,这就是为什么IDM是光滑的 - 它(至少在PowerPoint)有很多基于策略的功率,有助于绕过NPS。IDM添加ACL,QoS和时间/位置的东西。当然,IDM唯一的问题是它在ProCurve管理的顶部分层,是Procurve特定的 - 因此,如果您不是HP ProCurve Shop,它就不会有很大帮助。但我会放进一个大胖的警告,这就是我没有测试它,所以拿走我在这里的一切都用一粒盐。
SC.:我们正在寻找SSL-VPN用于在NAC的ROAD NAC中的远程访问,为内部网络进行远程访问。我们应该去单独的供应商或等待查看录制后的IF映射吗?
Joel_Snyder.:我先用一个很好的解决方案(SSL VPN)解决痛点,然后在6个月内重新表面,看看IF-MAP发生了什么。太早将鸡蛋放入本月的if-map篮子里。我希望,但希望不是产品。
NAC%20dog.:您认为嵌入在笔记本电脑和台式机中的可信平台模块的时间很快将成为NAC部署的重要组成部分?
Joel_Snyder.:可能是很长一段时间。如果Microsoft在Windows安全中心SHA中包含它,那么我们的形状更好。但我们有很多没有用于大量桌面,笔记本电脑和服务器的TPM芯片。我认为很多人只是没有得到TPM,这没关系,但似乎也有很多产品经理在供应商也没有得到它。尝试压力。让他们搞清楚。
糊状物:回复MAC AUTH答案:精致的答案,谢谢!我没有用if-map看到它在大图片中,所以很好!
Joel_Snyder.:即使用手机,我认为如果您在您的VoIP网络与世界其他地方有一个稳定的防火墙,即使没有,您可能会安全。
主持人 - 朱莉预先提交的问题:您是否必须在带有非802.1x设备的交换机端口上禁用NAC I.E打印机?如果答案是肯定的,如果有人删除打印机,然后插入电脑会发生什么?
Joel_Snyder.: 绝对不。您必须有办法处理角落案例,如打印机。这需要一堆开关配置,专门设计用于制作这项工作。大多数人所做的就是使用Mac认证旁路(在几乎所有现代交换机中提供),如果它没有通知802.1x,那么设备的MAC auth会有该设备。顺便说一下,现在很多打印机,手机,甚至摄像机将谈论802.1倍。但如果没有,那么你就会做一个MAC auth并将那个人放在打印机VLAN上或应用打印机ACL。
如果有人在该端口上潜入PC,则有两个选项。如果偷偷摸摸的家伙没有窃取MAC地址,那么一切都正常工作 - 他们没有访问,或者他们落入Guest VLAN和俘虏门户。如果偷偷摸摸的家伙已经窃取了MAC地址,那么您将它们作为打印机。这可能是(如果你没有搞砸)限制他们可以做的事情,因为它们只能像打印机一样。如果你有更多的担忧,那么你可以使用像大湾灯塔这样的东西(思科转售那样;我不知道他们所说的话)做设备分析,如果假装是打印机的那个人开始表演,然后你可以击倒它们并发送警报。
主持人 - 朱莉预先提交的问题:我们有一个完整的Cisco Switch /路由/防火墙/ VoIP网络,并将Cisco NAC变暖为基于基于基于NAC部署的基础架构:A)将NAC从思科手机/非托管交换机后面工作?b)如果没有托管开关上的某些设备是802.1x的某些设备,则可能会发生什么,有些是不是?c)NAC如何使用无线(即,像手机/ PC等设备从一个WAP移动到另一个WAP)?
Joel_Snyder.:哇,老兄。这是什么,得到它的一体化问题周?让我给你快速的答案,如果你需要更多细节,你可以回复。(a)是的,但您可能对您可以做的ACL和VLAN有限制。看David Newman的10Gig交换机测试具体讨论限制。(b)取决于您想要与他们有关的作用。如果你想把它们放在嘉宾VLAN上,没有问题,虽然现在你穿过溪流,听起来像是一个坏主意。(试着想象一下你所知道的,它瞬间停止,身体中的每一个分子以光的速度爆炸。)(c)802.1x是802.1x。这就是它的美丽。在有线,802.11,802.16之间,无论如何。在某些无线齿轮中,您将在某些无线齿轮中进行重新验证,这可能是不好的。这是一家集成无线管理系统的良好论点(在您的情况下,可能是Airespace的东西,但Aruba和Aerohive也会这样做)。
萨姆:NAC将从非托管交换机后面工作吗?
Joel_Snyder.:定义“工作”。显然,您没有完全控制您的交换机,但您可以做大量的NAC。我想在最后一个答案中我提到了David Newman关于交换机的文章,谈论了一些限制。我也会指出你http://www.opus1.com/nac/teamwhitepapers/2008-09switchfeatures.pdf.这是一个关于与此问题相关的交换功能的白皮书。
搁置:您是否拥有一个最喜欢的EAP类型,您可以为尝试部署802.1x的人推荐?