来自Opus One的安全专家Joel Snyder最近成为了网络世界实时聊天的嘉宾,在那里他讨论了网络访问控制的状态。足球竞猜app软件斯奈德说,那些抗NAC的人根本不明白这项技术。他回答了与会者的技术问题,包括为什么ACLS比VLAN更好,NAC(管理)的肮脏黑角,以及为什么一些反NAC专家已经错了。
来自Opus One的安全专家Joel Snyder最近成为了网络世界实时聊天的嘉宾,在那里他讨论了网络访问控制的状态。足球竞猜app软件斯奈德说,微软正在成为NAC的明显赢家之一,但微软的技术是建立的基础,而不是最终目标。他还说,那些反对nac的人根本不了解这项技术。他回答了与会者提出的一系列技术问题,包括为什么acl比vlan更好,NAC(管理)的黑暗角落,以及802.1X如何以及为什么。以下是一份完整的成绩单。
Moderator-Keith:请咨询公司的高级合作伙伴,欢迎安全的Guru Joel SnyderOpus one来自艾克森,阿里兹和成员足球竞猜app软件网络世界实验室联盟。今天的聊天将专注于关于NAC的事实和小说,回答有关NAC产品可以且不能做的问题的问题,包括与无线,技术缺点,插件等集成。
Joel_Snyder:Keith,很高兴在这里!
主持人 - 朱莉在等待Joel回答第一个问题的同时,这里有一个预先提交的问题:你刚刚从Interop实验室回来,进行了大量的NAC测试。你学到的最有趣的东西是什么?
Joel_Snyder谢谢关心!我将为互操作实验室NAC资源网站(http://www.opus1.com/nac/).那里面有很多我们的白皮书(大约13个),我们所有的设备配置,关于NAC的课程,基本上还有大约90mb我们收集和学习的关于NAC的东西。我们注意到的真正有趣的事情是,事情终于开始收敛了。我们跑一个漂亮的小图表(点击“点击查看”图)上周在NWW中谈到了家族树,关键是人们似乎愿意让微软在NAC中占据主导地位。所以我们真正关注的是:XP SP3和Vista内置了什么?如果你不喜欢内置的东西你怎么扩展呢?除了MS NPS,我们还有其他的决策点——Cisco, Avenda Systems, Juniper,散热器,还有FreeRADIUS。即使在客户端,也有一些有趣的事情。例如,您可以添加更多的系统健康代理/验证器,或者您可以使用其他请求器,或者您可以使用非windows或pre-XPSP3操作系统,或者您可以担心其他设备,如摄像机、VoIP电话和打印机。我们最后做了十几个演示,都展示了一个完整的NAC解决方案所需要的东西。它真正关注的是"让我们从微软开始并从那里锻炼。“比尝试拥有三个筒仓更令人满意,就像我们过去所做的那样,这不起作用。[编者注:也可以查看足球竞猜app软件网络世界的NAC买家指南比较了数十种NAC产品。]
br:我被要求调查.1x基于端口的身份验证。由于我们1000节点局域网的混合客户端(运行10.4和10.5的mac电脑,Windows 95到Vista的pc机),我有保留意见建议将其用于生产。我认为支持会变成一场噩梦,而且我不知道有谁在使用。1x。你是怎么想的?
Joel_Snyder:我听到你的声音。802.1x.是杰出的技术,但你必须有客户支持。mac 10.4/10.5没有问题——它都是内置的。但对于Windows,你只能使用win2000 SP3及以后版本。当然,Juniper的人会说你应该选择奥德赛,它有统一的体验,支持早期的Windows版本,是很棒的东西,我也可以投票给它。支持噩梦?很难说。我相信,一旦你解决了最初的问题,你最终会得到更少的支持电话。这取决于你所处的环境。如果你说的是教育市场,这是一回事。如果你谈论的是一个企业,我认为这是可控的。
顺便说一下,是802.1X,不是802.1X。这是一个常见的错误,但是如果您使用大写版本,您也可以使用l33t特权来纠正您的一些供应商。
Fyatim:我们在NAC空间中看到过一些整合。您能在NAC市场上提供更新,并在哪里展望?
Joel_Snyder:当然是面向微软。关键是桌面就是一切微软正在发出正确的声音关于标准和开放性,并在大局中制作工作。所以我们已经看到了微软和可信计算组织我认为,思科等其他供应商至少也能很好地适应微软的网络访问保护(NAP)框架,这只是时间问题。
RalphSam2我在一家大公司工作。我们在北美拥有500个工厂,约3万名员工。管理层希望看到集中化的NAC。所有的产品评估都很糟糕。对于大型站点(超过1000人)来说是好的,对于小型站点(少于10人)来说则不是。我们该怎么办?
Joel_Snyder:嗯,男孩,那是一个垒球。当然,你应该聘请Opus一个帮助:-)但是真的,我认为你需要退后一步并弄清楚你在NAC部署中大多数大多数是什么。你是为了访问控制吗?对于端点安全性?您必须缩小您想要的内容,然后您可以将一个解决方案放在一起,该解决方案将根据您的要求工作。我同意没有一个普遍的答案,但我认为如果设计正确,你可以做到。我们在Interop中看到的是从VLAN移动的能力(这绝对不会在小地点工作)到访问控制列表(ACL),工作和规模精美。如果你没有走下那条路,我建议在这些条款中思考。很多小家伙都在VLAN上固定,这不规模。
搁置:你能告诉你为什么你认为ACLS比网络访问控制的VLAN更好/更可扩展吗?在我看来,如果你的网络不容易概述,ACL可以变得非常大。你如何选择它们?
Joel_Snyder:好问题,谢谢!我不喜欢的vlan协议是我们已经在大多数网络中烧毁了它们。我们将它们用于其他用途,而更改VLAN基础设施是困难的,除非你有一个绿域网络,而没有人这样做。然而,使用acl,您可以将其推入EXISTING VLAN结构,而不必对其进行修改。这也解决了让人们在进出隔离区时跳过vlan的问题,(作为一个Mac用户)我真的很喜欢这个问题。确实,acl可能会变得很难看,但我认为您不是要在端口级别上实现完全控制,而是要实现广泛的控制。如果你想要很多acl,那么你需要使用专门的硬件:Consentry, Nevis,我认为HP也在谈论这个话题。我非常看好acl,因为Interop的实验室证明了它们的有效性。我们说的是前交叉韧带,对吧?
Tom2342:由于单独的Microsoft的NAP客户端不提供一些其他供应商的NAC客户提供的端点数据的数量附近,您为什么要打扰它?
Joel_Snyder:老兄。午睡客户只是一个基础。你不仅仅是微软所说的一切,对吗?它们提供了一个伟大的基础,您可以建立它以满足您的需求。如果你是一个小网站,你坚持他们。但是,如果你有赛门铁克,那么你可以使用NAP SHA / SHV来完成他们的SEP11。如果您有McAfee,同样的交易。Sophos,同样的交易。我们在实验室中测试了Avenda和Blue Ridge,所有人都坐在午睡之上。您以微软开头的原因是他们对自己的O / S更多地了解了比其他人更加了解,所以这将最大限度地提高互操作的能力。 And then you take your preferred end-point security partner and put it on top using the SHA/SHV model. It is totally clean and totally extensible.
主持人 - 朱莉预先提交的问题:TCG/TNC刚刚宣布了IF-MAP,这是关于什么的,你怎么看?[编者注:TCG的NAC方案被称为可信网络连接(TNC)]。
Joel_Snyder:If-Map.非常酷。我们很幸运,因为TCG允许我们在NDA的前提下提前进入游戏,我们能够在游戏发布的同时发布白皮书。说什么独家新闻!无论如何,IF-MAP都是关于使用结构化的方法来存储、关联和检索关于网络上用户和设备的身份、访问控制和安全态势信息。关于IF-MAP很酷的一点是它不仅适用于NAC,尽管这是第一步。这是一种最终将整个世界的政策和状态信息集合在一起的方法,这些信息在过去是完全专有的,甚至是不可操作的。
我对IF-MAP感到非常兴奋,因为我认为这是基于标准的NAC所缺少的主要东西之一,它弥补了一个巨大的漏洞。我希望我们能得到很好的收养。跨国公司似乎有六个供应商已经在他们的产品中加入了IF-MAP,他们正在Interop的展台上演示。Aruba, ArcSight, Juniper, Lumeta, nSolutions, Infoblox都在做演示。
RandyJ:我希望在明年校园实施NAC。我们是一个有一些有线的无线校园。我和很多不同的供应商谈过。您推荐的两大公司是什么,为什么?
Joel_Snyder哦,这要看情况了,是哪一个请你吃午饭?老实说,在不知道你到底想要完成什么任务的情况下,我无法轻易回答这个问题。显而易见的答案是布拉德福德(Bradford),因为他们比任何人都了解教育,也比任何人做得更好(至少在我的测试中是这样)。它们是围绕教育问题建立的,所以这很适合。从那以后,就很难说了。我想看看你还有哪些伙伴关系很好,看看他们是否能满足你的需求。换句话说,如果你是Enterasys的商店,去和他们谈谈。铸造等。
利奥:您是否可以评论Microsoft和Cisco之间的关系,现在并将其投影在未来?真正合作和分工的劳动力?或者碰撞?
Joel_Snyder:很难说。这涉及到很多人的个性。我想说的是,现在我们有两个很难合作的巨头试图找到一个暂时的解决办法。即使在一起有很多乐趣,但从长远来看,微软和思科不可避免会有不同的利益。我没有看到大的冲突,因为微软的主要兴趣是在桌面,而思科没有竞争的意图。像NPS这样的东西可能会被放在一边,因为思科准备好了他们的NAC管理解决方案的新版本,并完全重新架构了ACS和CCA的东西。我个人认为,思科拥有74%的交换机市场,微软拥有95%(或更多)的桌面市场,从长远来看,这不会有太大的改变。因此,我希望思科在他们擅长的领域——交换机、配线柜等——取得领导地位,而微软在他们绝对领先的领域——桌面——取得领导地位。任何一方进入对方的领地似乎都是危险的。
WillBean11:聊天的标题是“事实与虚构”,那么围绕NAC有哪些“虚构”值得我们注意呢?
Joel_Snyder哦,问得好。关于NAC最大的谜团是什么?这一切都是关于终端安全的?我们自己的员工中有一些名人似乎对此感到困惑。NAC是关于访问控制和网络,以及用户焦点。这是最大的困惑。另一个:NAC产品可以满足你的需求。我还没见过一个超过100台设备的网络,一个供应商解决了所有问题。让我看看随着时间的推移我是否能想出更多的点子。
主持人 - 朱莉:我觉得你在他的中指的是富有的StiennonStiennon安全博客。他打电话给它:“甚至甚至不打算投资网络录取控制“在那里他发动了一次大规模的NAC攻击。有反应吗?
Joel_Snyder:我认为Rich是一个非常聪明的人,但是他对NAC的很多想法都被一些关于NAC有什么好处的狭隘观点所影响。他非常专注于端点安全方面的内容,他在该领域的评论非常可靠。但当涉及到大的图景时,他非常迷茫,因为他没有想到NAC,除了这个非常狭窄的视角。如果你真的退一步去理解NAC是关于什么的,那么你会发现Rich只专注于解决方案的1/4。我不认为他在故意误导任何人;他只是对NAC有一个定义,这个定义非常有限制性,与NAC世界的其他成员所相信的完全不一致。
瑞奇:您对处理非Windows机器或“非操作系统”设备的建议是什么 - 例如IP电话,摄像机,医疗设备等?