在这个网络世界聊足球竞猜app软件天中,安全的Guru Joel Snyder揭示了网络访问控制技术的真相。较小的供应商规则和TCG / TNC,现在包括微软的午睡,是营地,即使没有思科也要观看。
Moderator-Julie
欢迎来到网络世界聊天。足球竞猜app软件我们今天的嘉宾是安全专家Joel Snyder他将揭开NAC的真相乔尔会回答你关于NAC,安全的问题,或者你脑子里的其他任何问题。
Joel_Snyder.
heya folks!欢迎来到NAC-土地。
arp.
NAC解决方案是否可以部署来自一个供应商的无线接入点和来自另一个供应商的RADIUS服务器?或者它是一个端到端的解决方案?谢谢。
Joel_Snyder.
当然,你不应该局限于一个供应商。当然,这将取决于NAC解决方案的选择,但在我们的测试实验室中,我们使用Aruba和Airespace(咳咳)思科的无线产品,并与微软和Juniper等其他政策决策点供应商取得了巨大成功。我不认为从一个供应商那里获得所有这些的需求很大,事实上,除了思科,我不认为任何NAC供应商真正涵盖无线和PDP (RADIUS)方面。所以多厂商已经成为现实。你不是西斯科来的吧?:-)
Moderator-Julie
预先提交的问题:在NAC实现中看到的最大缺点是什么?
Joel_Snyder.如果你看曼迪的测试几周前,你会发现她真的很有不同的产品。这使得很难知道对你有什么关系。
这很难说。我认为NAC方法和策略缺乏标准化真正阻止我们。我们希望拥有不同的产品以进行不同的要求,但NAC产品在董事会上如此不同,让人们难以知道如何解决他们的需求。您必须成为产品评估大师,以了解这些产品之间的一些细微差异。我认为这将随着时间的推移而摇摆,但是
Amiller219
例如,在您看来中实现的最大障碍是什么,例如,价格,复杂性,基础设施变化等?
Joel_Snyder.
组织。NAC要求三支球队一起玩球:桌面人,安全人员和网络人员。如果他们不能都同意他们想要做的事情以及为什么,它注定要失败。处理政治,所有其他问题都变得微不足道。
Grumpynettech.
您从无线客户端(.1x),无线(普通用户),有线访问以及用于访客和/或供应商的良好方面,您认为NAC是什么?我们应该能够执行或期望能够执行哪些修复/检查?
Joel_Snyder.
好吧,这一切都取决于(当人们这么说时,我讨厌它)。我认为NAC对于“本地”用户(您域名中的某人,就像您的员工)应该做大量的自我修复 - 不仅仅是抛出弹出框。对于访客用户来说,我没有看到NAC具有许多补救功能。您是否真的期待人们下载随机软件并安装它只是为了阅读他们的电子邮件?我猜一些人,但一般来说,我认为NAC / Guest是没有修改的,并专注于分区用户和保护东西。
JMS-MAINE.
Joel,你对带内和带外NAC解决方案有什么看法?垒球,但管他呢…
Joel_Snyder.
我必须在这里抛出一个定义,看看你是否同意:乐队我认为是一个框,就像可能是一个游标/同意/痣甚至CISCO CCA(以在线模式,这是一个选项),它控制所有访问。带外的是我喜欢称之为“边缘执法”,更多802.1x-y。混合动力车更加单位,如锁定或CCA在该模式下。无论如何,考虑到这些定义:Edge真的是我认为我们想要参加大型企业部署的地方。它缩放,它处理负载,它不依赖于单点进行执行。在乐队中我想到了更多的偶尔访客访问 - 将其中一个框中放入您的客人之间,并让它处理该负载。BAM,问题解决了,即当然很容易等,这并不意味着带内的家伙无法处理负载,但是如果它适合,你真的希望瞄准边缘执法,然后去 -乐队如果没有。并且有大量的地方,其中带有更好的地方。
存款准备金率
但是,这个缩放的借口难道不是在说,当前的NAC技术将在几年内被带内设备取代吗?
Joel_Snyder.
嗯。这取决于您对“带内电器”的定义。我认为防火墙 - 港口是在几年内将发生的事情,其中“夫妇”可能更像十年。那种智力和速度移动到交换机端口需要多长时间?很难说,但肯定是我想看到它的发生。
杰弗_Caruso.
用户应该暂停在实施任何特定的NAC,直到供应商排序全能吗?
Joel_Snyder.
当然不是。您需要购买,购买,购买,所以这些可怜的家伙可以在他们的跃迁方面保持付款。不,严重,尽管如此,您今天可以解决大量的解决方案问题,并向未来寻求更好的解决方案,更广泛的范围。我看到很多人需要解决方案的“痛点” - 他们应该今天要去一些东西。而且,今天的一点经验将帮助您明天选择正确的解决方案。您是否应在30个建筑物中在Windows域上购买50,000名企业用户的NAC解决方案?好吧,我首先要做一个测试推出一段时间,如果我是你。
taco2
乔尔,您认为与思科NAC设备的挑战是什么?
Joel_Snyder.曼迪切割它(这里也)思科在她对NWW的考验中变得沮丧,但老实说,我对它没有很强的意见。我在实验室里有很长一段时间,直到我在我的腰带下的盒子里,我不喜欢提供意见。
老实说,我无法非常回答,因为我没有在我的实验室里没有它。
serverguy42.
嗨Joel - 我正在为我的CCNA学习,也希望进入无线和NAC。我应该采取哪些步骤以获得更多关于这个主题的知识?
Joel_Snyder.
好吧,802.1x是你真正需要理解的东西。我会确保我真的“得到了那个”,了解NAC和该方法的专业人员/缺点(并且还有两者!)。我还在交换机上配置了802.1x并进行了一些测试,以确定您是否知道什么是容易的,并且有什么困难 - 这是一堆福蕾丝。
Gleb
在最近的Network World NAC测试(赛门铁克和ForeScout)中,排名前两的解足球竞猜app软件决方案使用了两种根本不同的NAC方法——客户机与无客户机。你对客户与无客户的争论有什么看法?
Joel_Snyder.
我的想法是,人们使用NAC有很多原因,他们可能会发现全客户端与无客户端满足他们的需求。说实话,如果你为员工做NAC,你需要一个客户。如果你是为客人做的,你就需要没有客户的服务。如果你想要一个解同时满足两个条件,那么你需要一个同时满足两个条件的解。SSL VPN的人发现了这一点;NAC的人也会(迟早)。
kevsull.小憩和tcg想到了。
关于标准,您对这些所谓的联盟有何看法,该联盟建议是标准的,但在仔细的外观上,您可以告诉他们是供应商领导和自助服务。
Joel_Snyder.
你的问题显示了某种偏见,但即便如此,我认为标准是完全关键的。如果没有一套好的标准,这项技术将会惨败。考虑PKI和某种程度上的IPsec VPN远程访问。供应商之间的争吵太多,而“搁置分歧,继续前进”的太少。我认为TCG/TNC是值得关注的;微软(Microsoft)也加入了这一行列。目前唯一落后于TCG/TNC的是思科,据我所知,这主要是个性上的差异。
nacnac
系统扫描 - 如果其中一个主要问题是A / V [防病毒],操作系统修补等的效力是 - 为什么所有的Hubbub都会验证这些东西到位?我得到了缓解风险论证,但最终你有没有解决问题的验证工具,没有?
Joel_Snyder.
这是一个降低风险的问题。我完全同意,知道有A/V并不能说明你是否被感染。事实上,大多数人都不明白我很高兴你明白。但答案是如果你有A/V至少你被感染的几率比你没有的要低。因此,虽然遵守政策只是遵守政策,但其理念是,如果你在写政策时不是一个彻头彻尾的傻瓜,政策确实会降低风险。记住,我们永远不可能达到零。
冰霜
我们有很多承包商,我们试图限制他们对服务器的某些部分的访问,可以nac做吗?
Joel_Snyder.
NAC和承包商很难。你有这种情况,你想在他们的系统上放置很多软件,他们可能不会投入这种情况。我认为你可以找到良好的NAC解决方案,它将有效 - 你想寻找更多“强制y”的产品而不是“姿势-y”。良好的候选人是我以前提到的在线家伙,当然是少年,这一切都在那里。
dougdooley
您如何看待微软在NAC领域合作的意愿?他们似乎对所有人都很友好——与Juniper的UAC进行联合演示,与思科的John Chambers进行路演?这是一种绝望的迹象,还是在为客户做正确的事情,还是两者都有/都没有?
Joel_Snyder.
Doolster !MS在栅栏的右边。要么就是他们在睁眼说瞎话,我相信他们是诚实的。我和他们以及一些聪明的人进行了一些很好的交谈,我认为他们在做正确的事情。老实说,没有人想写个人电脑软件,至少在网络安全行业没有。我们为什么要这样做,当微软为我们提供这样的服务。伙伴,而不是灭亡。
存款准备金率
从现在开始5年的NAC产品的愿景是什么?
Joel_Snyder.
普遍的“ho-hab”。就像VPN一样。我们都拥有它,我们需要它,它不是那么令人兴奋。这就是我们想要的。普遍沉闷。我们必须去时髦的小镇,然后搬到杜斯维尔。这是一个好兆头。
存款准备金率
Re Gleb的问题 - 您如何看待录取为无客户NAC的解决方案(也为员工)?
Joel_Snyder.
录取后惹恼了我。对我来说,入场券是您的产品不做它所需的录取。NAC是NAC。您希望预订,入院后和毕业后。所有产品。所有5年从现在的NAC解决方案都需要。
光盘
IETF发展标准是否是供应商中立的标准?所有供应商有贡献的地方?
Joel_Snyder.
IETF是,但它有点惨败。我邀请你读到末骨。有很多自负。我喜欢IETF,但我认为,它作为标准发展组织的有效性近年来急剧下降。我很乐意看到IETF这样做,并且有一群在那里参加的聪明人,但他们被拖累了“每个人都有声音,即使他们不应该说这么多”人群。我的钱在TCG / TNC上,至少今年。但是,我很乐意被证明是错误的。
主持人 - 基思
预先提交的问题:任何开源NAC都会在那里有趣吗?
Joel_Snyder.蒂姆格林写了一篇伟大的文章几个月前关于开源NAC,真正涵盖了市场和项目。这是对可用选项的最佳无偏见讨论之一。我听说那篇文章中错过的那个蒂姆的唯一项目是Fireepipes。
在这方面有很多行动,有些延伸了一点想象力。Open1X人(现在OpenSEA的主要驱动力,安全边缘访问)主要对Linux客户端感兴趣,这是基于Chris Hessing最近领导的Xsupplicant工作。这真是太酷了,当然,除了Linux台式机和笔记本电脑在当今世界的渗透基本上是zip。但是他们正在做的工作与Mac世界有着巨大的关联,在这个世界上,苹果已经抛弃了企业的干系,并将帮助开发嵌入式设备,现在大多数嵌入式设备都是基于Linux的。那些家伙聪明得吓人,值得一看。
serverguy42.
您对将NAC放在终点上,如打印机,PDA等的终点是什么?
Joel_Snyder.
你绝对必须有一些处理这些家伙的方式;这是NAC杀手的角落案。人们不会非常考虑它,但任何NAC解决方案(至少对企业用户)都没有充分处理“愚蠢的客户”(打印机,PDA,智能手机,带有Wi-Fi等的摄像机等)是留下一个巨大的安全洞。当然,这一切都取决于你在第一个地方做NAC的原因 - 如果你专注于客人,打印机也不是图片的一部分。
主持人 - 基思
预先提交的问题:谈到NAC时,产品性能不是选择供应商的唯一原因。在我买之前,我应该考虑哪些其他因素?
Joel_Snyder.