内联NAC器具试验中的一致边缘排除痣

新成立的共识网络和Nevis网络已经进入了网络访问控制环，它们提供在线执行产品，保证高水平的安全，对现有网络基础设施的影响最小。

用例是这样的:企业希望实现NAC，但他们希望最小化对已安装的LAN交换基础设施的更改和升级。我们测试的LANShield和LANenforcer盒分别有10对和12对千兆以太网港口。在核心开关旁边安装任何一个设备。对于来自配线柜的每个上行链路，在将其传递到核心交换机之前，使用端口对通过设备运行流量。这为您提供了一个控制点——两家公司都称其设备控制器而不是安全开关——来验证用户，应用高度详细的每个用户状态的防火墙控制，并将其用作内部ip。

我们将这些产品视为NAC设备，并关注于对任何NAC部署至关重要的四个领域:身份验证和授权、终端安全态势评估、交通执行和系统管理(参见《我们如何测试NAC产品》)。我们正在单独的测试中评估这些产品的性能，并将在可用的时候公布结果。

身份验证和授权

认证是LANShield和LANenforcer难以掌握的一块NAC图片。因为它们在网络中处于更深的位置，所以用户如何验证设备的身份并没有简单的答案。最明显的方法是使用基于web的自保门户，这两个产品都支持将其作为身份验证方法。通过专属门户，用户连接到网络，获得IP地址，然后启动Web浏览器并尝试打开Web页面。LANShield和LANenforcer拦截这种通信，并将用户的浏览器重定向到一个允许用户进行身份验证的页面。

我们发现LANenforcer的专属门户存在一个主要的设计缺陷。我们测试的版本不允许您使用自己的证书颁发机构或知名的受信任的证书颁发机构来签署SSL证书。如果没有可信的证书颁发机构，您就会要求人们连接到您的网络，并将他们的用户名和密码提供给一个他们不知道的未经身份验证的系统，这在任何情况下都不是一个好主意。Nevis表示，它将在下一个版本中增加使用自己的数字证书和证书权威的功能。

自保门户通常适用于酒店和热点，但对于企业网络的身份验证来说，不是特别友好的方法。出于这个原因，LANenforcer让网络管理器启用了自注册，在这种情况下，LANenforcer会记住经过身份验证的用户的媒体访问控制(MAC)地址，时间是可配置的(8小时到1年)，而且不需要重新验证。

我们的测试表明，虽然这个特性工作得很好，但它并不是与被俘门户相关的问题的通用补救方法。由于基于MAC的认证安全性很差——MAC地址很容易被窃取和欺骗——自注册方法采用了侵入性的认证方法，大大削弱了整体的安全模型。

ConSentry有认证问题的一个更好的方法：被动认证作为替代强制网络门户。如果用户登录到Windows域或正在使用802.1倍身份验证无线或有线LAN访问，LANShield监视身份验证通过并推断用户的身份(在Windows登录的情况下)或他们所属的组(在802.1X身份验证的情况下)。

在我们的认证测试中，我们在这两个产品中都发现了问题。兰盾最初不会与我们的Funk合作(瞻博网络)半径LANenforcer存在设计问题和bug，这些问题与RADIUS和轻量级目录访问协议(LDAP)服务器。如果使用的是Windows Active Directory服务器进行身份验证，那么使用LANenforcer应该没有问题，但我们的测试表明，即使使用常见的现成配置，也可能无法从LDAP或RADIUS分配组成员。

我们还失望地发现，当使用Nevis的LANsight安全管理器配置设备时，所有的身份验证都由LANsight服务器代理。这造成了可怕的单点故障，因为管理服务器只是一个简单的Linux服务器。我们发现这个问题时，我们的LANsight服务器失去了与LANenforcer的通信，丢失了大部分配置信息，需要重新安装和配置LANenforcer。

一旦用户通过身份验证，consensus和Nevis框需要一种方式来分配正确的安全强制策略。consensus try使用一个灵活的系统将每个用户映射到单个角色，该系统包括身份验证组、时间和访问方法。Nevis的系统不够灵活，它根据身份验证服务器返回的组来分配角色。

但是，如果您使用LDAP进行身份验证，并且用户在多个组中，那么Nevis有一个设计良好的系统来合并不同的安全策略。对于希望将非常细粒度的安全实施扩展到大量组的网络管理员来说，这个功能将非常有吸引力，因为Nevis让每个组拥有更精确的策略。

同意LANShield控制器和洞察指挥中心

得分:3.78

www.consentry.com

LANShield是一种高速、高密度的防火墙，拥有10对千兆以太网端口。两厢情愿将其定位为NAC设备，将其放在配线柜交换机和网络核心之间，以验证用户和执行安全策略。

LANShield的身份验证选项从不显眼的(比如监视Windows域登录)到使用专属门户的主动身份验证。身份验证方面的这种灵活性与设计良好的策略定义工具包和通用的实施控制相结合。当与consensus try的InSight指挥中心管理系统合作时，LANShield的“控制器”可以在企业NAC环境中充当可伸缩的构件。

不过，LANShield在许多不同的安全领域都取得了不同程度的成功。与Check Point合作进行端点安全评估，为consensus提供了一个强有力的工具，即使管理没有完全集成。检测和阻止内部恶意软件(如蠕虫)的选项在我们所研究的产品版本中并没有很好地实现。我们还发现InSight GUI需要重新设计。总的来说，对于这样一款新产品，兰盾已经非常成熟，并且在短时间内取得了长足的进步。

端点安全状况评估

在许多企业中，驱动NAC的一个关键因素是终端安全性:评估连接到网络的设备的状态，并限制对不在网络中的设备的访问合规与公司政策。共识和尼维斯解决了这一要求，但没有达到令人满意的程度。

Nevis使用LANenforcer实现端点安全的方法是使用一个下推到用户PC(假设Windows和Internet Explorer正在运行，并且有管理员权限)的ActiveX控件来检查操作系统补丁级别和存在的反病毒和反间谍软件。由于主要的Nevis身份验证方法是自留式门户，因此在加载Web页面时，在登录序列中会进行端点安全性评估。未能通过这些检查将使您处于隔离状态，进行用户导向的补救;LANenforcer还可以配置为在用户登录时需要定期重新评估。

不幸的是，使用LANenforcer的自注册工具来避免通过自留门户进行身份验证，这意味着LANenforcer没有机会放下端点安全姿态评估工具。在我们的测试中，我们遇到了一个问题:Nevis终端安全工具坚持认为我们需要为我们的Windows XP笔记本电脑安装一个特定的补丁，而微软Windows更新服务不同意或提供这个特定的补丁。这并不像Nevis接口的不透明和缺乏配置控制那样是个大问题。一旦我们发现了这个问题，我们就无能为力了，因为LANsight不能看到需要的补丁列表，也不能手动更新或覆盖它。

在LANShield上，consensus的方法几乎与尼维斯的完全相同，但也有类似的局限性。consensus与Check Point合作，销售Check Point完整性无客户安全作为集成端点安全态势评估工具。Check Point的完整性工具比Nevis端点安全工具更复杂。例如，它检查间谍软件，而不仅仅是是否有反间谍软件。您还可以使用它向您的策略添加其他类型的检查。这种共识检查点组合还支持更广泛的客户平台，包括旧版本的Windows和Java和ActiveX版本的端点安全工具。

即使使用更复杂的客户姿态评估工具，consensus和Nevis也有同样的问题:用户必须到Web页面下载工具。有了专属门户，界面就像Nevis一样干净，但是当你使用一致同意的LANShield被动身份验证方法(比如监视一个Windows域登录)时，就不会涉及到Web页面。在这种情况下，LANShield可以拦截客户端创建的下一个Web连接，并下推端点安全工具，但不能保证用户会使用他们的Web浏览器。

尼维斯·兰塞尔和LANSight安全经理

得分:3.35

www.nevisnetworks.com

LANenforcer是一种高速、高密度的防火墙和IPS设备，设计用于在布线壁橱交换机和网络核心之间进行在线连接。LANenforcer有12对千兆以太网端口，被指定以10Gbps的最高速度处理多达1,000个用户。

Nevis选择强调LANenforcer的IPS特性，就像强调NAC特性一样，并且精心设计了一套IPS特性来捕捉恶意软件和内部蠕虫。

深入网络对身份验证和实施都提出了挑战，而且Nevis做出了一些企业用户或网络管理人员可能无法接受的设计选择。身份验证是通过被控制的web门户完成的。这方便了使用Nevis自己的ActiveX客户端进行终端安全态势评估，但是对于许多环境可能太过干扰。网络管理员还可能发现LANsight安全管理器(Nevis的基于gui的管理系统)在定义复杂的安全策略时显得笨拙。

对于LANenforcer，我们最关心的是我们在几乎每个组件中发现的大量bug，包括端点安全、恶意软件检测、管理和硬件本身。与任何新产品一样，Nevis可能需要更多的时间来解决这个版本的一些问题。

入侵预防发挥了作用

Nevis和consensus try都意识到围绕端点安全态势评估及其特定拓扑的问题。一种解决方案可能是安装一个同时处理身份验证和姿态评估的专有客户端;这是方法思科南汽框架使用。consensus try表示，它正在开发自己的客户，而尼维斯正在考虑增加一个客户，以加强其姿势评估。