思科,TCG提供基本的端点安全
安装是很困难的,但值得努力
终点安全评估可能是使NAC成为一项值得投资的杀手级组成部分。测试端点安全性评估需要大量的实验室时间和精力,但它也被证明是NAC领域中最不存在问题的领域。
在我们的三个标准使用场景中:员工、来宾和无代理设备——我们首先关注员工的端点安全。
除了它自己的思科安全服务客户(CSSC)评估工具,思科引入了五种端点安全评估工具,包括Trend Micro、McAfee、LANDesk和Bigfix的产品。对于TCG/TNC,我们有来自PatchLink、Symantec和Juniper的工具。
只需检查防病毒和个人防火墙状态竟然是太容易了两种方案。首先,进了我们的测试床是从趋势科技(上航)和赛门铁克简单的端点安全工具(在TCG / TNC),我们为员工设立了,需要他们的机器有电流,有效软件版本,一个政策,否则将相应地隔离。显然,端点安全厂商已经做了很好的工作整合他们的产品与我们在测试的笔记本电脑的NAC客户端工具(思科CSSC / CTA为中航和Juniper UAC客户端的TCG / TNC)。
我们继续来验证McAfee和蓝代斯克都成功地整合和处理,隔离和补救不相关的事件。虽然,越来越安装这些工具花了很长时间 - 这些企业级的工具,你不只是踩住他们;你必须做这一切的安装,自我训练,配置和不同的工具连接在一起 - 与Cisco ACS策略引擎的实际整合是相当简单的。
我们遇到的最大问题是将所有不同的场景集成到Cisco ACS图形用户界面中。因为思科ACS是从一个独立的RADIUS中成长起来的服务器在这个NAC策略引擎中,策略定义和不同的条件以一种非常混乱的方式分散在GUI中。然而,公平地说,我们将思科ACS推向了一个普通企业无法企及的境地:没有人会同时在台式机上运行McAfee、LANDesk和Trend Micro。
由于成功地集成了更简单的端点安全工具,我们转向了更大的狗,如修补程序管理合规供应商BigFix(CNAC)和PatchLink(TCG/TNC)都处于NAC集成阶段的早期,因此我们有一些密集的技术支持和一些快速的bug修复,以便将NAC环境中的所有内容都整合在一起。这使得总的集成比简单的包更加困难,但是当一切都工作时……嗯,一切都工作了。
我们与补丁管理工具的经验较好,总体来说,比简单的终点评价的产品,因为这些工具具有很强的补救策略。如果你一直在找借口去一个更全面的补丁管理和法规遵从工具,NAC是在颤动另一个箭头。如果你已经运行了补丁管理,你会发现两者TCG / TNC与中航的用户体验极佳。
例如,这些补丁管理工具善于搭建对话框告诉是什么以及为什么要用户。而不是简单地说:“你被隔离”,用户得到的感觉正在发生的一切,他实际上会出现炼狱一旦补丁管理工具已完成其工作。在某些情况下,补丁管理工具还从事自我修复,如打开已被简单地关闭病毒扫描程序。
我们还验证了持续保护是否到位:检测、隔离了在会话期间不合规的用户,并只让他们返回到局域网一旦他们回来到合规性。这两者中航和TCG / TNC运作良好。
Mac的困境
离开了我们的Windows XP环境,我们的成功就少了。
缺乏NAC客户端设备的,没有办法通过从客户机到NAC策略服务器姿势的信息:我们的员工拥有的Mac笔记本电脑是由尝试进行身份验证时,我们有同样的问题的阻碍。
只有这样,才能让这些系统上与姿势检查网络启用的是让他们充当来宾用户:不运行802.1X,而是通过不来宾虚拟LAN(VLAN),并得到一个IP地址。从那里,一旦他们上的Guest VLAN,思科提供了一个简单的解决方案的基础上,我们会用来获取来宾访问以前的QualysGuard扫描技术。随着中航,我们能够定义允许用户在网络上基于他们推出为来宾用户的QualysGuard审计结果的政策。
在TCG / TNC网络,瞻博网络采取了不同的方法解决问题的建议我们使用内置的姿势检查它的UAC设备的工具。基于相同的技术,瞻博的SSL VPN产品线中,UAC姿势检查器支持Mac和Linux平台。在我们的测试中,一旦MAC用户连接到圈养门户网站,UAC家电按下端点安全检查工具到浏览器,并检查姿态,并允许相应的访问。这种做法也将谁拥有个人或非托管的Windows设备上,无需对他们NAC客户员工工作得很好。
像我们的打印机、PalmTX、NokiaE61和VoIP电话这样的无代理设备并没有带来真正的挑战,因为没有要测试的端点安全性。我们继续使用在无代理状态检查测试的身份验证阶段安装的工具,包括QualysGuard扫描仪、信标设备和QRadar,所有这些都可以作为端点安全姿势检查策略的一部分。我们发现QualysGuard扫描器对我们慢下来的无线的PDA设备,导致诺基亚E61智能手机发生多起故障。Beacon在与Cisco CNAC和我们的TCG/TNC框架集成时运行良好,有助于检测假装是Cisco VoIP电话的Linux笔记本电脑。
关于端点安全的经验教训
加入端点安全,用户认证和访问控制在一起,使一个坚实的NAC部署的前景似乎非常好充实出在中航和TCG / TNC框架两者。我们发现,较高端的补丁管理系统,比如PatchLink公司和BigFix的,用户提供出色的体验。如果符合政策是非常重要的,所有我们测试的工具是坚实的表演。
CNAC当然拥有巨大的营销力量,为我们提供了比TCG/TNC框架更广泛的端点安全态势检查工具。同时,Juniper的UAC设备给了我们一些Mac和Linux姿态检查的希望。
访客用户和他们的姿态似乎是个难题。是否要审核来宾用户或尝试将姿态检查器推入其浏览器将取决于您自己的安全策略,以及您希望如何处理员工和来宾的端点安全。
虽然CNAC和TCG/TNC都有工具可以帮助解决这一问题,但网络管理人员可能希望考虑添加其他保护技术,例如在任何来宾用户和网络其他部分之间的入侵预防系统。这将提供比姿态检查更高的安全性,确保系统没有被实际感染或参与恶意活动。
斯奈德是亚利桑那州图森市一家咨询公司Opus One的高级合伙人乔尔·斯奈德@opus1.com。
Snyder还是网络世界实验室联盟的成员,该联盟由网络行业的顶足球竞猜app软件级评审员组成,每个评审员都有多年的实践经验。要了解更多实验室联盟信息,包括成为成员需要什么,请转到m.banksfrench.com/alliance网站。
查看此包中的其他故事:
主要事迹:NAC现在能为你做什么?
了解更多关于这个话题
版权所有©2007足球竞彩网下载