在这个网络世界聊足球竞猜app软件天中,安全专家Joel Snyder揭示了网络访问控制技术的真相。较小的供应商占统治地位,TCG/TNC(现在包括微软的NAP)是值得关注的阵营,即使没有思科。
Moderator-Julie
欢迎来到网络世界聊天。足球竞猜app软件我们今天的嘉宾是安全专家乔尔·斯奈德他将揭秘“NAC的真相”乔尔会回答你关于NAC,安全,或任何你想问的问题。
joel_snyder
你好大家!欢迎来到NAC-land。
arp
NAC解决方案是否可以使用来自一个供应商的无线接入点和来自另一个供应商的RADIUS服务器进行部署?还是端到端解决方案?谢谢。
joel_snyder
当然,您不应该局限于单一供应商。当然,这将取决于NAC解决方案的选择,但在我们的测试实验室中,我们使用Aruba和airspace(咳咳)思科无线设备,并与其他决策点供应商取得了巨大成功,包括微软和Juniper。我不认为从单一的供应商获得所有的需求很大,事实上,除了思科,我不认为任何NAC供应商真正涵盖无线和PDP (RADIUS)方面。所以多供应商是非常现实的。你不是西斯科来的吧?:-)
Moderator-Julie
预提交的问题:你认为NAC实现最大的缺点是什么?
joel_snyder如果你看曼迪的测试几周前,你会看到她买了不同设计的产品。这让你很难知道什么适合你。
这很难说。我认为缺乏标准化的NAC方法和策略确实阻碍了我们。我们希望有不同的产品来满足不同的需求,但NAC的产品千差万别,人们很难知道什么能解决他们的需求。你必须成为产品评估专家才能理解这些产品之间的细微差别。我想随着时间的推移,这种情况会逐渐消失,但是
amiller219
在您看来,实现的最大障碍是什么,例如价格、复杂性、基础设施更改等?
joel_snyder
组织。NAC需要三个团队合作:桌面团队、安全团队和网络团队。如果他们不能就他们想做什么以及为什么要做达成一致,那就注定要失败。处理好政治问题,其他的问题就都变得微不足道了。
Grumpynettech
从无线客户端(0.1 x)、无线(普通用户)、有线接入以及客户和/或供应商的角度来看,您认为NAC有哪些优点?我们应该执行或期望能够执行什么补救/检查?
joel_snyder
这要看情况(我讨厌别人这么说)。我认为NAC对于“本地”用户(游戏邦注:比如你的员工)应该进行大量的自我修复,而不仅仅是弹出框。对于访客用户,我不认为NAC有很多补救功能。你真的希望人们下载随机软件并安装它只是为了阅读他们的电子邮件吗?我想有些人是这样做的,但一般来说,我认为NAC/guest是无补救的,主要是对用户进行分区和保护。
JMS-Maine
Joel,你对带内和带外NAC解决方案有什么想法?垒球,但管他呢……
joel_snyder
我必须在这里给出一个定义,看看你是否同意:带内(in -band)我认为是一个盒子,可能是Vernier / Consentry / Nevis,甚至是Cisco CCA (in -line mode,这是一个选项),它控制所有访问。带外是我喜欢称之为“边缘强化”的802.1X-y。混合模式则更偏向于中间模式,就像lockdown或CCA模式一样。无论如何,考虑到这些定义:“优势”确实是我们想要在大企业部署的地方。它可以伸缩,可以处理负载,而且不依赖于单个点来执行。在带内,我认为更多的是为偶尔的客人访问——在您的客人之间放一个盒子,让它处理负载。BAM,问题解决了,这很简单,等等。当然,这并不意味着带内的家伙不能处理负载,但你真的想要瞄准边缘加强如果它适合,并去带内如果它不。有无数的地方更适合带内。
存款准备金率
但是,这个规模扩大的借口难道不是另一种说法,即目前的NAC技术将在几年内被带内设备所取代吗?
joel_snyder
嗯。这取决于您对“带内设备”的定义。我认为防火墙到端口将在几年内发生,而一对“夫妇”可能更像是十年。这样的脑力和速度需要多长时间才能转移到交换机端口?很难说,但我确实希望看到它发生。
Jeff_Caruso
用户是否应该推迟实现任何特定的NAC,直到供应商解决所有问题?
joel_snyder
当然不是。你得不停地买啊,买啊,买啊,这样那些可怜的家伙就能继续付钱买boxter了。不,严肃地说,你可以用现在的解决方案解决很多点问题,并在未来寻找范围更广的更好的解决方案。我看到很多人有“痛点”,他们需要解决方案——他们今天就应该去做一些事情。今天的一点经验会帮助你明天选择正确的解决方案。你是否应该为30栋建筑中的50,000个Windows域企业用户购买NAC解决方案?如果我是你,我会先试一段时间。
taco2
Joel,你认为思科NAC Appliance面临的挑战是什么?
joel_snyder曼迪切割它(在这里也Cisco在NWW的测试中很生气,但说实话,我对此并没有很强的看法。我已经有很长时间没有在我的实验室里使用它了,我不喜欢发表意见,直到我把箱子放在我的皮带下。
说实话,我不能很好地回答这个问题,因为我在实验室里还没有遇到过。
ServerGuy42
你好,乔尔-我正在学习我的CCNA,也想进入无线和NAC。我应该采取哪些步骤来获得更多关于这个主题的知识?
joel_snyder
嗯,802.1X是你真正需要了解的东西。我会确保自己真正“了解”NAC以及这种方法的利弊(两者都有!)我还会在交换机上配置802.1X,并做一些测试,以确保你知道什么是容易的,什么是困难的——关于这有一大堆FUD。
Gleb
在最近的Network World NAC测试中,排名前两名的解决方案(赛门铁克和ForeSc足球竞猜app软件out)使用了两种完全不同的NAC方法——客户端与无客户端。你对客户与无客户的辩论有什么看法?
joel_snyder
我的想法是,人们使用NAC有很多原因,他们可能会发现完整客户与无客户满足他们的需求。老实说,如果你为员工做NAC,你需要的是客户。如果你是为客人做的,你希望没有客户。如果你想要一个能同时解决这两个问题的解,那么你就需要一个能同时解决这两个问题的解。SSL VPN的人弄明白了;NAC的家伙也会(迟早的)。
kevsull午睡我想到了TCG。
在标准方面,你对这些所谓的联盟提出的关于标准的建议有什么看法,但仔细一看,你会发现他们是由供应商主导和自私自利的。
joel_snyder
你的问题显示了某种偏见,但即便如此,我认为标准是完全关键的。如果没有一套好的标准,这项技术将会惨败。考虑PKI,在某种程度上,IPsec VPN用于远程访问。供应商之间的争吵太多,而“搁置分歧,向前迈进”的太少。我认为TCG/TNC值得关注;微软(NAP)也加入了进来,并已经坐上了巴士。目前唯一落后于TCG/TNC的是思科,据我所知,这很大程度上是性格上的差异。
nacnac
系统扫描-如果主要问题之一是A/V[杀毒软件]无效,操作系统补丁,等等-为什么所有的吵吵嚷嚷的核实这些东西是到位?我明白减轻风险的论点,但最终你是在验证工具是否存在不能解决问题,不是吗?
joel_snyder
这是一个降低风险的问题。我完全同意即使知道A/V已经就位也不能说明你是否被感染了。事实上,大多数人都不明白我很高兴你明白了。但答案是,如果你有A/V,至少你被感染的几率要比没有感染的低。所以,虽然遵守政策只是遵守政策,但如果你在写政策的时候不是一个白痴,政策确实会降低风险。记住,我们永远不会达到零。
FrostBe
我们有很多承包商我们试图限制他们访问服务器的某些部分,NAC能做到吗?
joel_snyder
NAC和承包商很难。在这种情况下,你想在他们的系统上安装很多软件,但他们可能不会这么做。我认为你可以找到有效的NAC解决方案——你应该寻找更“强制”而不是“姿态”的产品。好的候选人是我之前提到的那些人,当然还有Juniper,都在这上面。
dougdooley
你如何看待微软在NAC领域的合作意愿?他们似乎对每个人都很友好——与Juniper的UAC联合演示,与思科的约翰•钱伯斯进行路演?这是一种绝望的表现,还是在为客户做正确的事情?
joel_snyder
Doolster !多发性硬化症在栅栏的右边。要么是这样,要么就是他们在撒谎,而我相信他们是诚实的。我和他们以及一些杰出人士进行了一些很好的交谈,我认为他们正在做正确的事情。老实说,没人想写PC软件,至少在网络安全领域没人想写。为什么我们要这样做,当MS为我们提供了这样的服务。伙伴,而不是灭亡。
存款准备金率
您对未来5年NAC产品的愿景是什么?
joel_snyder
普遍的“家常便饭。”就像VPN。我们都在需要它的地方拥有它,它不是那么令人兴奋。这就是我们想要的。普遍的迟钝。我们得去时髦镇,然后搬去杜尔斯维尔。这是个好迹象。
存款准备金率
Re Gleb的问题是:对于无客户的NAC(也包括员工),你如何看待入学后的解决方案?
joel_snyder
录取后我很生气。对我来说,“准入后”就是承认你的产品没有达到它的要求。南京南汽。你想要入学前,入学后和研究生。都在一个产品中。这些都是今后5年NAC解决方案所需要的。
cd
IETF开发的标准不是独立于供应商的吗?所有供应商的贡献?
joel_snyder
IETF是,但它有点失败。我邀请你们阅读NEA的会议记录。这涉及到很多的自我意识。我喜欢IETF,但我相信它作为标准开发组织的有效性在最近几年急剧下降。我很乐意看到IETF这样做,有一群聪明的人在那里参与,但他们被“每个人都有声音,即使他们不应该说这么多”的人群拖了下来。我赌TCG/TNC,至少今年是这样。不过,我希望证明我是错的。
Moderator-Keith
预提交的问题:有什么有趣的开源NAC项目吗?
joel_snyder蒂姆·格林写了一篇很棒的文章几个月前关于开源NAC的报道,它确实很好地覆盖了市场和项目。这是对可用选项最好的公正讨论之一。我听说Tim在那篇文章中唯一漏掉的项目是FirePipes。
在这方面有很多动作,其中一些有点超出想象。基于Chris Hessing最近领导的Xsupplicant工作,Open1X人员(现在是OpenSEA的主要驱动者,安全边缘访问)主要对Linux客户端很感兴趣。这是令人难以置信的酷,当然,除了Linux台式机和笔记本电脑进入世界基本上是zip今天。但他们正在做的工作与Mac世界有着巨大的关联,在这个世界里,苹果已经把企业抛在了一边,这将有助于嵌入式设备,目前大多数都是基于Linux的。那些家伙聪明得吓人,值得一看。
ServerGuy42
对于把NAC放在诸如打印机、pda等端点上,你有什么想法?
joel_snyder
你必须有办法对付这些家伙;那是在NAC里的一个杀手。人们并没有考虑太多,但任何NAC解决方案(至少对企业用户而言)如果不能充分处理“愚蠢的客户端”(打印机、pda、智能手机、带有Wi-Fi的摄像头等),就会留下一个巨大的安全漏洞。当然,这完全取决于您首先为什么要使用NAC——例如,如果您关注的是客人,那么打印机可能就不属于您的考虑范围。
Moderator-Keith
预提交的问题:对于NAC来说,产品性能并不是选择供应商的唯一原因。在购买之前我应该考虑哪些其他因素?
joel_snyder