对抗在没有特工的NAC上交货

ForeScout抵消

成本:起价13995美元

分数:４.３８

ForeScout中和设备监控其所连接的交换机上的trunk和span端口，嗅探网络流量以了解设备的状态并确保它们符合要求安全政策。例如，根据Active Directory域进行身份验证的员工可以遵守一组策略，而不是企业Active Directory域成员的客户用户则必须遵守不同的策略。

通过Nmap识别网络中任何设备的角色，并将其动态分配给设备组进行访问。例如，打印机被标识并放置在打印机组中。这个过程减少了管理开销，因为不需要像在其他网络访问控制部署中那样明确地排除新设备。

除了作为测试平台的一部分使用的标准客户端和服务器外，中和还确定了网络电话电话、TiVo和PDA在网络上。总的来说，使用Nmap，任何安全专业人员的军火库中的主要工具，使管理所有嵌入式设备中最容易测试的产品。

为了进行测试，我们在网络核心上配置了抵消设备思科3750.这让我们可以从一个交换机控制网络的所有方面，并让设备看到所有网络流量。这里的可伸缩性是一个明显的问题，因为所有的网络流量都要通过这个单独的盒子。测试可伸缩性超出了本文的讨论范围，所以我们在这一点上没有明确的答案。可以说，ForeScout提供了多个设备来满足不同的可伸缩性需求，其中高端支持2500个设备和1GB吞吐量。

为了支持远程访问连接，ForeScout为提供NAC功能的中和设备提供了插件VPN产品。在我们的测试中使用的Cisco VPN Concentrator插件支持完整的端点评估和执行功能。

一个802.1倍插件也可以从ForeScout获得，它将允许设备捕获并参与802.1X连接尝试。

身份验证支持主要是通过与活动目录和存储库的关联被动提供的轻量级目录访问协议如果没有使用802.1X插件，也没有使用支持RADIUS的VPN插件。我们配置了与Active Directory的中和集成——提供帐户信息并为与目录的查询配置基本专有名称——这是快速且容易完成的。与大多数其他产品一样，公司也可以通过专属门户推送活动身份验证过程。

抵制管理员只能在本地对设备进行身份验证，我们认为这是一种限制，因为我们希望让他们对现有存储库进行身份验证。

ForeScout的无代理端点评估方法总体上相当强大，但确实缺乏对其他供应商包含的基本组件的覆盖。开箱即用的反病毒支持非常少，只覆盖了McAfee和赛门铁克等少数主要厂商。其他AV产品可以通过自定义检查来跟踪，这是我们写的，以确定我们的Sophos AV安装。此检查运行成功。自定义检查是通过Visual Basic脚本构造的。如果可以编写脚本，则可以推动系统检查或触发强制操作。虽然提供了无限的灵活性，但并不是所有的组织都有必要的时间或内部技能以这种方式使用NAC产品。

对于无代理方法，一个挑战是评估运行个人防火墙并阻止入站访问的系统。对于员工系统，可以将公司个人防火墙配置为允许入站访问中和系统。对于非雇员，可以要求用户更改防火墙设置，但这并不总是可行的选择。ForeScout确实提供了提示用户创建出站SSL连接的选项，然后CouterACT使用该连接进行评估检查。处理客户用户比提供安装可溶解剂执行符合性评估的产品更具挑战性。

Windows补丁检查是一种标准功能，依赖于Nessus(内置)或Qualys(可选，通过插件)的漏洞评估，以确定试图访问的系统中缺少哪些补丁。

除了针对任何进入网络的机器运行的检查主机之外，还为每个单独的完整性检查配置了后续评估的时间安排，使这一领域在这方面成为最灵活的产品之一。

“中和”收集标准的设备信息，如用户名、IP和MAC地址，但它的被动监控也收集数据，如网卡供应商、操作系统、操作系统功能和系统上运行的任何服务。这个过程对我们测试网络上的系统来说是非常准确的。

与ConSentry提供的产品类似，ForeScout还监测设备的感染证据，这是ForeScout早期产品的最初重点。我们从终端系统运行了一个蠕虫生成工具。大约在30秒内，对网络流量进行正确识别并阻断系统。

在实施和补救方面，中和能够更改VLAN链接，通过防火墙规则阻止与违规机器之间的流量，杀死系统上的进程，提供用于自我补救的链接，并发送HTTP、Windows和电子邮件消息警报。

为了进行测试，我们配置了一个VLAN分配更改，并在系统不符合要求时向最终用户发出HTTP通知。

我们在中和设备上创建了防火墙规则，以阻止除互联网连接外的所有网络流量，并提供了一个链接，以便在缺少Sophos防病毒客户端时下载和安装。这些测试按预期运行。

ForeScout提供最佳的数据搜索功能，帮助管理员了解设备、用户、完整性问题和补救之间的关系。ForeScout提供了一个基于web的网络门户，允许授权用户根据用户名、IP地址和MAC地址等条件进行搜索。您可以查看系统的所有数据，查看系统是如何被访问的，系统存在什么完整性问题，采取了什么强制操作。您还可以运行搜索，查看特定用户访问的所有系统。可用的报告是从这个接口创建的。它们可以被安排，完成后可以通过电子邮件发送，还可以导出为pdf和csv文件。

系统管理是通过安装在独立Windows系统上的控制台来执行的。虽然它不像大多数竞争对手那样基于网络，但它相当直观。策略是通过向导创建的，向导提供了一个易于使用的界面来完成复杂的任务。通过此向导，您可以像使用任何其他测试产品一样灵活地设置策略。但是，forecout不会让您跳转到8个不同的屏幕来配置所有必需的检查和规则关联，而是一步一步地引导您完成这个过程。在这个管理GUI中大约有20个报表模板可用，所有模板都可以导出为HTML。

ForeScout易于使用和部署，非常适合那些希望尽可能少地更改基础设施的组织。就测试的其他产品之间的直接比较而言，除了ConSentry与ForeScout不在同一位置之外，中和与ConSentry的lanshield非常相似。

了解更多关于这个主题的信息

买方指南:网络访问控制

ForeScout全球早期预警系统(GEWS) - ForeScout技术

07/01/07

ForeScout支持NAC设备

04/03/07