ForeScout抵消在无代理的NAC交付

ForeScout抵消

成本:起价13995美元

分数:4.38

ForeScout抵消设备监视它所连接到的交换机上的中继和跨端口，嗅探网络流量以了解设备的状态，并确保它们符合要求安全政策。例如，根据Active Directory域进行身份验证的员工可以遵守一组策略，而不是企业Active Directory域成员的来宾用户必须遵守另一组策略。

中和使用Nmap来标识网络上任何设备的角色，并动态地将其分配给一个设备组以进行访问。例如，打印机被标识并放置在打印机组中。这个过程减少了管理开销，因为不需要像其他一些网络访问控制部署那样明确地排除新设备。

除了将标准客户机和服务器用作测试床的一部分之外，中和还确定了网络电话电话，TiVo和PDA在网络上。总的来说，使用Nmap，一个主要的工具在任何安全专家的兵工厂，使管理在所有的嵌入式设备中最容易测试的产品。

为了进行测试，我们在网络核心上配置了抵消设备思科3750.这让我们可以从一个交换机控制网络的所有方面，并让设备看到所有网络流量。这里的可伸缩性是一个明显的问题，因为所有网络流量都要通过这个单一的盒子。测试可伸缩性超出了本文的范围，因此我们对这一点没有明确的答案。我们可以说ForeScout提供了多个设备来满足不同的可伸缩性需求，高端支持2500个设备和1GB吞吐量。

为了支持远程访问连接，ForeScout为为popular提供NAC功能的抵消设备提供了插件VPN产品。在我们的测试中使用的Cisco VPN集中器插件支持完整的端点评估和实施功能。

一个802.1倍ForeScout也提供了插件，它可以让设备捕获并参与802.1X连接尝试。

身份验证支持主要通过与Active Directory和存储库的关联被动地提供轻量级目录访问协议如果既没有使用802.1X插件，也没有使用VPN插件(它支持RADIUS)。我们配置了与Active Directory的抵消集成——提供帐户信息并为目录查询配置基本专有名称——这是一个快速且容易完成的过程。与大多数其他产品一样，公司还可以通过专属门户推动主动身份验证过程。

抵消管理员只能本地对设备进行身份验证，我们认为这是一种限制，因为我们想让他们对现有的存储库进行身份验证。

ForeScout的无代理端点评估方法总体上相当强大，但对其他供应商包含的基本组件却缺乏覆盖。开箱即用的AV支持是最低限度的，只包括少数几个主要的供应商，如McAfee和赛门铁克。其他的AV产品可以通过自定义检查来跟踪，这是我们为了识别我们的Sophos AV安装而写的。此支票成功运行。自定义检查是通过Visual Basic脚本构造的。如果可以编写脚本，则可以推动系统检查或触发强制操作。虽然提供无限的灵活性，并不是所有的组织可能有必要的时间或内部技能，以这种方式工作的NAC产品。

使用无代理的方法，一个挑战是评估运行个人防火墙并阻止入站访问的系统。对于员工系统，可以将企业个人防火墙配置为允许对抵消系统进行入站访问。对于非雇员，用户可以被要求更改他们的防火墙设置，但这并不总是可行的选择。ForeScout确实提供了提示用户创建出站SSL连接的选项，然后CouterACT将其用于评估检查。处理客户用户比使用能够安装可溶解代理来执行依从性评估的产品更具挑战性。

Windows补丁检查是一种标准特性，它依赖于Nessus(内置)或Qualys(通过插件可选)漏洞评估，以确定试图访问的系统缺少哪些补丁。

除了针对任何进入网络的机器运行的检查主机外，还为每个单独的完整性检查配置后续评估的时间，这使得该产品在这方面成为该领域中最灵活的产品之一。

它收集标准设备信息，如用户名、IP和MAC地址，但它的被动监控也收集数据，如NIC供应商、操作系统、操作系统功能和任何运行在系统上的服务。这个过程对于我们的测试网络上的系统来说是非常准确的。

ForeScout也监控设备是否有感染的迹象，这是ForeScout早期产品最初关注的焦点。我们在一个端点系统上运行了一个蠕虫生成工具。中和正确地识别了流量并在大约30秒内从网络阻塞了系统。

在实施和补救方面，中和能够更改VLAN链接，通过防火墙规则阻止与违规机器之间的通信，杀死系统上的进程，提供用于自我补救的链接，并发送HTTP、Windows和电子邮件消息警报。

为了进行测试，我们配置了一个VLAN分配更改，并在系统不符合要求时向最终用户发出HTTP通知。

我们在该设备上创建了防火墙规则，以阻止除互联网连接以外的所有网络流量，并提供了一个链接，以便下载和安装Sophos AV客户端(如果缺少的话)。这些测试按预期运行。

ForeScout提供了最佳的数据搜索功能，帮助管理员理解设备、用户、完整性问题和补救之间的关系。ForeScout提供了一个基于web的网络门户，允许授权用户根据一些标准进行搜索，例如用户名、IP地址和MAC地址。您可以看到显示了系统的所有数据，并查看系统是如何访问的、系统存在什么完整性问题、采取了什么强制操作。您还可以运行搜索，查看特定用户访问的所有系统。可用的报告是从这个接口创建的。它们可以被安排并在完成时通过电子邮件发送，并且可以导出为pdf和csv文件。

系统管理通过安装在单独Windows系统上的控制台执行。虽然它不像大多数竞争对手那样是基于网络的，但它相当直观。策略是通过向导创建的，向导提供了一个易于使用的界面来完成复杂的任务。通过该向导，您可以灵活地设置策略，就像对任何其他被测试产品一样。但是ForeScout并没有让您在8个不同的屏幕之间跳来跳去，以配置所有必需的检查和规则关联，而是一步一步地引导您完成这个过程。大约有20个报告模板可以在这个管理GUI中使用，并且都可以导出为HTML。

ForeScout易于使用和部署，对于希望进行尽可能少的基础设施更改的组织非常理想。就其他测试产品的直接比较而言，中和非常类似于consensus的LANSheild，除了consensus try是在线的，ForeScout则不是。

了解有关此主题的更多信息

买方指南:网络访问控制

全球早期预警系统(GEWS) -预警技术

07/01/07

防松支撑装置

04/03/07