思科,TCG提供基本终点安全性
设置可能很困难,但值得努力
端点安全评估可能是使NAC成为值得投资的关键因素。测试端点安全评估需要最多的实验室时间和精力,但它也被证明是NAC领域中问题最少的。
在我们的三种标准使用场景中:员工、访客和无代理设备——我们首先关注员工终端安全。
除了自己的思科安全服务客户端(CSSC)评估工具,思科带来了五个终点安全评估工具,包括来自趋势科技,迈克菲,LANDesk和Bigfix的产品。对于TCG / TNC,我们有PatchLink,Symantec和瞻博网络的工具。
简单检查防病毒和个人防火墙两种方案都证明了太容易了。首先是我们的测试床是趋势科技(CNAC上)和Symantec(在TCG / TNC上)的简单终点安全工具,我们为员工设置了所需计算机拥有当前和主动软件版本的员工或他们会的策略相应地被隔离。显然,终点安全供应商已经完成了与我们正在测试的笔记本电脑上的NAC客户端工具(CNAC和TCG / TNC的CNAC和Juniper UAC客户端的Cisco CSSC / CTA)一体化。
我们继续验证McAfee和LAMESEK均在没有相关事件的情况下成功和处理检疫和修复。虽然,安装那些安装的工具需要很长时间 - 这些企业大小的工具,您不仅仅猛击它们;您必须一起完成所有这些安装,自培训,配置和将不同的工具连接在一起 - 与Cisco ACS策略引擎的实际集成相当简单。
我们遇到的最大问题是如何将所有不同的场景集成到思科ACS GUI中。因为思科ACS是从一个独立的RADIUS发展而来的服务器进入这个NAC策略引擎,策略定义和不同条件以非常令人困惑的方式分散在GUI周围。然而,要公平,我们正在推动思科ACS超出普通企业的作用:没有人会在他们的桌面上运行McAfee,Landesk和趋势科技,同时。
在集成更简单的终端安全工具的成功鼓舞下,我们转向了更大的狗,代表补丁管理这两个供应商都处于NAC集成的早期阶段,所以我们得到了一些密集的技术支持和一些快速的bug修复,以便在NAC环境中把所有东西拼接在一起。这使得整体集成比简单的包更困难,但当一切都能正常工作时……好吧,一切都能正常工作。
我们对补丁管理工具的经验总体而言,而不是更简单的终点评估产品,因为这些工具具有很强的修复策略。如果您一直在寻找更全面的补丁管理和合规工具的借口,NAC是Quiver中的另一个箭头。如果您已经运行修补程序管理,您会发现与TCG / TNC和CNAC的用户体验非常出色。
例如,这些补丁管理工具擅长备注对话框,告诉用户正在发生的事情以及为什么。而不是简单地说“你被隔离了”,用户对发生的事情感到一种感觉,并且在补丁管理工具完成工作后,他实际上就会从炼狱中出现。在某些情况下,补丁管理工具也从事自我修复,例如打开已关闭的病毒扫描仪。
我们还验证了是否存在持续保护:在会话期间不符合要求的用户会被检测、隔离,只让他们返回局域网一旦他们回到合规。这两者都在CNAC和TCG / TNC中工作。
Mac困境
离开我们的Windows XP环境,我们的成功就更少了。
我们的员工拥有的MAC笔记本电脑被尝试验证时的相同问题受到阻碍:缺少NAC客户端意味着没有办法将客户端的姿势信息传递回NAC策略服务器。
通过姿势检查将这些系统带到网络上的唯一方法是使它们充当Guest用户:不要运行802.1x,但失败到Guest虚拟LAN(VLAN)并获取IP地址。从那里,一旦他们在Guest VLAN上,思科就可以根据Qualysguard扫描技术提出了一个简单的解决方案,我们以前以前用于获得访客访问。使用CNAC,我们能够根据QualySguard审计的结果定义允许用户在网络上作为访客用户推出的结果。
在TCG / TNC网络中,瞻博网络通过建议我们使用UAC设备的内置姿势检查工具,对问题采用了不同的方法。基于与Juniper SSL VPN产品系列相同的技术,Mac和Linux平台支持UAC姿势检查器。在我们的测试中,一旦Mac用户连接到俘虏门户,UAC设备就会向下将终点安全检查工具向下推入浏览器并检查姿势并相应地允许访问。对于没有NAC客户端的个人或非托管Windows机器的员工,这种方法也适用于没有NAC客户端的员工。
无代理设备,像我们的打印机,Palm TX,诺基亚E61和VoIP电话没有真正的挑战-因为没有终端安全测试。我们继续使用在无代理状态检查测试的身份验证阶段安装的工具,包括QualysGuard扫描仪、Beacon设备和QRadar,所有这些工具都可以作为端点安全态势检查策略的一部分。我们发现QualysGuard扫描器对我们的慢速度有点过于激进无线的PDA设备,导致诺基亚E61智能手机几次崩溃。Beacon在与思科CNAC和我们的TCG/TNC框架集成时工作得很好,帮助检测一台冒充思科VoIP电话的Linux笔记本电脑。
关于端点安全性的经验教训
将终点安全性,用户身份验证和访问控制的承诺一起在CNAC和TCG / TNC框架中似乎非常充实似乎非常充实。我们发现更高端的补丁管理系统,如PatchLink和Bigfix,为用户提供了出色的体验。如果对政策的符合性很重要,我们测试的所有工具都是实心表演者。
CNAC当然拥有强大的营销力量,并为我们提供了比TCG/TNC框架更广泛的终端安全态势检查工具。同时,Juniper的UAC设备给了我们一些Mac和Linux姿势检查的希望。
客座用户和他们的姿势似乎是一个棘手的问题。您是想审计访客用户,还是试图将姿势检查器推入他们的浏览器,这取决于您自己的安全策略,以及您想如何处理员工和访客的端点安全。
虽然CNAC和TCG/TNC都有工具来帮助实现这一点,但网络管理人员可能希望增加其他保护技术,比如在任何访客用户和网络其他部分之间添加入侵防御系统。这将提供比态势检查更大的安全性,以确保系统实际上没有受到感染或参与恶意活动。
斯奈德是亚利桑那州图森市咨询公司Opus One的高级合伙人。可以通过Joel.Snyder@opus1.com联系到他。
斯奈德还是网络世界实验室联盟的成员,该联盟由网络行业的资深审稿足球竞猜app软件人组成,每个审稿人都有多年的实践经验。想了解更多实验室联盟的信息,包括成为成员需要做什么,请访问m.banksfrench.com/alliance。
查看这个包中的其他故事:
主要故事:NAC现在能为你做什么?
了解有关此主题的更多信息
版权©2007足球竞彩网下载