南汽是否值得?在网络有个足球雷竞技app世界的第一次面对面交谈中,安全专家乔尔·斯奈德和理查德·斯汀诺就利弊进行了辩论。
有个足球雷竞技app网络世界最近举办了第一次聊天的对峙与谁持有的价值对立观点的两个安全专家网络访问控制。在亲NAC侧约珥·斯奈德(如图,顶部)和在CON侧,理查德斯蒂农。乔尔是一名高级合伙人作品一号在亚利桑那州图森的一家咨询公司,和网络世界实验室联盟的成员。有个足球雷竞技app自1981年以来他已经在网络和信息安全工作,并写下了几本书。斯蒂农是一名安全顾问,流行的扬声器和创始人Seccom全球是一家专注于统一威胁管理的托管安全服务提供商。他写的施奈尔安全博客为网络世界。有个足球雷竞技app以下是经过编辑的会议记录。
Moderator-Julie我们准备开始了。欢迎成为我们的客人。
Richard_Stiennon:你好!
Joel_Snyder:你好!
Moderator-Julie在我们开始讨论NAC的利弊之前,让我们先定义一下这项技术。乔尔,你对NAC的定义是什么?(Richard,在Joel回答之后,我们会询问你对这个问题的回答。)
Joel_Snyder我对NAC的定义是什么?…好的,等我一下。
Richard_Stiennon: 时间到。
Joel_Snyder:NAC是用户为中心的,基于网络的,访问控制。NAC改变了我们如何做访问控制。这是在NAC的“交流”。而且它的网络访问控制。这就是“N”。随着NAC,你被允许这样做=你是谁+您的端点安全状态+如何你的行为。这“等号”不是一个静态的要么;它的F(),连续计算功能。这不是离散数学课;这是微积分。 Thus, What You Are Allowed To Do (ACCESS CONTROL) is continuously evaluated based on things that change, largely How You Behave.
简单地说,AC = Auth [Authentication] + EPC [End Point Control] + NBAD [Network Behavior Anomaly Detection]。任何做NAC的人都必须决定这三个组成部分中哪一个重要,有多重要。因此,你可以有NAC解决方案是100% EPC和0% Auth和0% NBAD。你可以有一些是100%认证和0% EPC和0% NBAD。你甚至可以让AC = 0%因为他们所做的只是得到一个报告。
如果你看一下思科公司的原装产品,和微软的原来的产品,它们都是关于EPC。有0%验证,0%NBAD,甚至(在Microsoft的情况下)0%AC。每个人都被允许挑选他们有什么问题的任何产品解决了。那些家伙是早期采用者和解决一个老问题:坏朱朱在企业网络。他们已经移动了。如果他们没有,这不会是一个问题,无论是。我们有多个供应商没有那么每个人都可以争夺同样的美元,反而使问题的不同的解决方案可以存在。产品有不可替代性。问题是不一样的。这一切都是好的。 NAC is a technology. Not a product. That's my definition. .
Moderator-Julie:理查德,你是什么NAC的定义是什么?
Richard_Stiennon:天哪。我知道NAC很复杂,但我认为它更容易定义。比如:NAC是类固醇的访问控制。它将机器状态(如配置、病毒签名等)添加到访问控制方程中。这个概念是思科在2003年提出的,当时是为了解决MSBlaster带来的问题:网络会被带入工作的笔记本电脑感染。像类固醇上的其他东西一样,NAC容易引起心力衰竭、内出血、并发症和丑陋的外表。
Moderator-Julie:OK,第二个问题:乔尔,你怎么看作为NAC的价值?(Richard,在Joel回答之后,我们会询问你对这个问题的回答。)
Joel_Snyder:你看,NAC是一个关键的原因很重要:它改变了我们的工作重点。年复一年,我们已经花了我们的时间被聚焦在外线。然后我们开始往里看。但是,我们始终专注于IP地址:防火墙戳孔IP A到IP B关于端口C也一样使用IPsec。即使人们有机会做细粒度VPN,没人能因为产品使之成为一场噩梦。让我们得到一些历史在这里了。
然后,SSL VPN来到身边,需要一个钩,并抓住了钩“每个用户的策略。”所有这一切泄密有关防火墙的政策是没有工具不行,突然SSL VPN的家伙了吧。我们可以把人分成组,并专注于用户,为我们的安全策略 - 这是上帝希望。没有IP地址,而是人。(注:参见VPN的:六燃烧问题]
NAC正在把这种以用户为中心的理念引入网络世界。它是一个用于进行基于网络的用户访问控制的工具。这就是NAC的意义,也是它如此令人兴奋的原因。当然,“用户”实际上是“用户本人”和“他们使用的设备”的总和,因为对于像我这样的网络人员来说,用户和笔记本/桌面是同一个实体。NAC让我们把安全带到了以前无法做到的地方。这就是NAC有价值的原因。
Moderator-Julie:理查,你认为什么是NAC的价值,你会响应乔尔的回答这个问题说什么?
Richard_Stiennon:EWWW,保持上,而我清楚我的口味。我的家伙是一个网络太多,但我不想去的地方我以前没有去过。我同意NAC焦点更改。它从安全和网络以及对基础设施和桌面改变它拿走。在一个有损于整体安全性。
Moderator-Julie乔尔,你对理查德的回答有什么反驳意见吗?
Joel_Snyder:你不得不损害部分向我解释,因为我不明白这一点。(他打开门宽...)
Richard_Stiennon好的,这样看。我们正处在一个威胁越来越大的时代。我们有中国黑客在我们的网络,有业内人士窃取ID和信用卡,机器人和DDoS的威胁。由于某些原因,在所有这些暴力变化中,供应商,如思科,微软等,希望我们停止一切,并实施他们的特定品牌的绑定之间的机器和网络。NAC根本不是一个安全解决方案。
Joel_Snyder:你制作的零和游戏的说法吗?如果我们把时间花在NAC,那么我们不会花时间在中国黑客?因为我不认为这NAC是不是安全的说法是真的站得住脚,诚实。
Richard_Stiennon:你打赌。大多数我认识的CIO们,不仅没有多余的预算,今年,但被要求减少他们的支出。
Joel_Snyder当前位置访问控制是我们为安全所做的基本工作之一。
Richard_Stiennon我们最好进入我们的定义;我对用户访问控制没有问题。我在终端访问控制方面有很多问题。
Joel_Snyder:你暗示NAC是净成本。我认为,它可以是一个净储蓄。
Richard_Stiennon:我认为NAC是净成本*和*的东西,减少网络对企业的价值。
Joel_Snyder:嗯,我不想谈这种“同意和不同意”的废话,但是……不,不是,不,不是。:-)
Moderator-Julie: Richard,如果NAC不是答案,那么执行终端安全和其他政策的答案是什么?(Joel,等Richard回答后,我们会问你对这个问题的回答。)
Richard_Stiennon:哦,所以我们在* *在谈论终点执法?
Joel_Snyder嗯,朱莉是。
Richard_Stiennon:我认为赛门铁克,微软,BigFix的解决了这一点。我是一个网络的家伙。我不端点处理,只是我必须使用一个。这对于帮助台的家伙。
Joel_Snyder:根据MBlaster、赛门铁克、微软的定义,BigFix没有修复它。
Richard_Stiennon因此,对于终端实施,我建议与补丁管理公司谈谈。对大多数企业来说,布拉斯特基本上是一个零日(剥削)。如果他们部署了NAC,他们还是会被击中。
Joel_Snyder当然,补丁管理公司像BigFix, Lumension(旧的Patchlink),他们是一些NAC部署的重要组成部分。需要终端安全性的。并非所有的NAC部署都需要终端安全。(见上面的定义……)
Richard_Stiennon那么做NAC你需要多个供应商的产品一起工作?
Joel_Snyder为了建立网络,你需要多个供应商的产品一起工作。NAC不是产品。这是一项技术,就像动态路由一样。
Richard_Stiennon:对于网络,你让他们工作中使用一个很好理解的协议,如TCP / IP一起。什么是NAC标准这些厂商跟进,以确保他们一起工作?
Joel_Snyder:NAC标准是一个单独的问题,真正完全垂直于NAC是否是有用的。我同意我们需要更好的标准,我们需要更好的符合标准。
Richard_Stiennon:所以,你必须在不需要互操作性,像所有的思科解决方案的情况下?
Joel_Snyder:没有。在Interop的iLabs上,我们有十几个供应商,都在一起玩。我认为,你不会明白NAC是一种观点和技术。它不是一个产品。我可以整合——并且拥有——一个包含多厂商互操作性的NAC解决方案。
Richard_Stiennon我同意它正在变成一种宗教,这使我成为一个无神论者。
Joel_Snyder:每一个NAC解决方案具有互操作性。企业75%的思科。所以NAC必须与工作。而企业的99.99%有Windows。所以NAC必须与工作。是它有没有用:但是互操作性,再次,从主要的问题,这是我们转向?
Richard_Stiennon:那么NAC是一种强制思科微软的双寡头垄断?你的问题的前提是NAC是值得的。
Joel_Snyder看,互操作性是既定的。这已经被证明了,没有思科的帮助。让我们继续讨论这项技术的用途,而不是TCG/TNC是否有共同的行动。
Richard_Stiennon那么,NAC的作用是什么呢?这显然不是威胁保护。
Joel_Snyder:没有什么是显而易见的。NAC是我定义它为以用户为中心。基于网络的。访问控制。因为我们从来没有在这之前它是有用的。
Richard_Stiennon:那么,为什么我们需要终结点!!! ???从第一天用户访问控制已经出现。
Joel_Snyder:没有,用户访问控制也没有。是的,当然我们有认证。看看有多少人在局域网中的802.1X。不太多。为什么?好了,客户吸。这得到了修复。人们害怕,因为分析公司告诉他们要。而且,最重要的是,我们不得不去管理它没有真正的工具。
Richard_Stiennon:我是14年前配置RADIUS。这是需要和作品。
Joel_Snyder半径并不意味着我们知道墙的另一端是谁。
Richard_Stiennon:那么NAC是问题的答案与部署访问控制?
Joel_Snyder:身份验证本身很有趣,但还没有有趣到值得尝试802.1X的痛苦。每个人都知道一项新技术有好处也有坏处。如果痛苦大于好处,那么它就不会被吸收。就是这么简单。NAC让我们把一堆不同的部分(802.1X、以用户为中心的策略、端点安全性、id /NBAD)放在一起,并对它们进行集成。这就是我们所缺少的。这就是今天的节目。这就是我们要去的地方。这就是NAC很有趣的原因。这就是人们兴奋的原因。
Richard_Stiennon我们来谈谈NAC的疼痛。
Joel_Snyder:那你为什么还从是否有必要的问题偏转?痛。互操作性。我们坚持一个话题。
Richard_Stiennon当前位置乔尔,我知道你对微软的打盹很感兴趣,所以我花了一些时间来研究它。我吓坏了。看看这些组件!用于在SP3及以上机器上运行系统运行状况验证器和系统运行状况代理的2008服务器,对于IPSec,您需要在另一台Win08机器上(与您的CA相同)额外的运行状况注册机构,以及在每个桌面和服务器上运行IPSec依赖方EC。(我甚至不确定这些是什么,但有无线和有线接入的分别。)
因此,在设置IPSec连接时,服务器会发出健康证书(x.509)?是在第一阶段之前还是之后?第二阶段吗?证书是否在每次会话后被撤销?如果SHA决定端点不再符合规定,会发生什么?它会破坏IPSec隧道吗?证书被撤销了吗?这些东西是如何相互交流的呢?他们使用什么协议/端口?我不想在没有支付咨询公司数百万美元的情况下部署这样的东西。 Scary stuff. .
Joel_Snyder:我不知道怎么回答这个问题。怎么样:“我不认为你得到NAP点?”在IKE V1没有一个是特别感兴趣的NAP。是什么让NAP有趣的是有一个标准的架构端点合规性将如何与网络和PDP交互的能力。
Richard_Stiennon:那你怎么查别人的机器状态,当他们在被VPNing?
Joel_Snyder五年来,SSL VPN的家伙们已经有了一个伟大的战略。
Richard_Stiennon您刚才说标准不是NAC价值讨论的一部分。
Joel_Snyder:你是谁带来了NAP的一个。我还在努力让我们有用的话题。你看,这是一个技术。许多企业使用它,但他们如何使用它,并在那里,他们用它取决于什么样的问题,他们希望解决的问题。在我看来,你的NAC的目标是像你在未来和说,动态路由是没有好,因为RIP没有规模。那么,你就错了在两方面:对某些人谁不需要规模,RIP是好的。而RIP是不是动态路由,就像问终点,如果他们感染的是不是NAC。
Richard_Stiennon好吧,让我们举几个例子来讨论一下它的用处。
Joel_Snyder:好的。《蓝岭》剧组的人昨天发给我一份名单,名单上有11个人:-)
Richard_Stiennon:请提一句,是不是EDU或MIL。
Joel_Snyder:什么是与EDU和MIL问题?
Richard_Stiennon:有一种产品,地址,教育和军事需求并不企业的市场作。这是利基。
Joel_Snyder这是一个巨大的利基市场。好吧,我们先不说这个。
Richard_Stiennon对于那些解决它的人,是的。
Joel_Snyder:OK,所以这里有一个简单的例子,它提供IT服务,以小分组织一帮组织。
Richard_Stiennon:一个MSSP [托管安全服务提供商]
Joel_Snyder:不,假设它是美国的一个大州,它是一个半外包的it部门。每一个下属部门,如参议院、众议院等,都是一个敌对派系。事实上,每一位参议员都在互相打仗。在这个特殊的案例中,我们解决的问题是,无论参议员/众议员/工作人员在首都的哪个地方,他们都需要“在他们的局域网上”。
Richard_Stiennon:对网络分段很大的应用。在IP层网络虚拟域内的VLAN。
Joel_Snyder不,vlan不能工作。在这种情况下不能伸缩。但是,如果没有数百个vlan的话,vlan是可以工作的。无论如何,这都不重要。关键是要确保网络用户没有连接到网络的错误部分。南汽帮助。我们让他们进行认证,即分配一个组,组意味着ACL。
Richard_Stiennon:哦,不!不是acl !你吓着我了。您使用什么来执行、管理和记录这些acl ?
Joel_Snyder听着,你到底要不要直奔主题?我们在这里讨论的是实用性。而不是他们购买的产品。
Richard_Stiennon:这很有用,但是应该通过网络来解决,而不是通过主机代理和单独的服务器。花了多少钱?
Joel_Snyder:有必要。需要得到满足。我们使用“NAC技术”做到这一点。在这种情况下,没有主机代理。事实证明,惊讶,惊讶的是,这些人使用的是Windows和微软似乎已经送人了他们所需要的。我不知道总成本。请记住,这是一个州议会。得到了隐藏在与黑鹰直升机和私人喷气机的预算。但我可以这样说。没有人需要得到权威花钱,因为它不是很多。
Richard_Stiennon:那么,你说这是很好的利用技术现有部署来实现自己的目标是什么?
Moderator-Julie:我们拥有一批在与会者的队列中的问题,所以我们要继续前进,以回答尽可能多的,因为我们可以在剩余的时间。
lucas_burke在高等教育中,用户通常可以将任何他们想要的设备添加到网络中。你没有企业级别的控制。对我来说,NAC一次性解决了许多问题-像,跟踪被盗设备在我的网络,执行病毒标准,关闭流氓无线APs,等等。理查德:有比NAC更好的方法吗?我很想听听。
Richard_Stiennon:我在高等教育与放任网络管理员一个巨大的问题。任何协议,任何操作是允许的。通过部署NAC可以拥有绝对的控制权有人用错误配置的笔记本电脑/服务器,但你拒绝投入从黑客阻止他们所需的控制!或以其他方式滥用您的系统。在大多数大学健康系统已经转移到了安全的环境。该组织的其余部分应该看看这一点。
丹尼:我认为,我们必须着眼于“端点安全”为NAC的主要传统目标。允许清洁访问网络。我已经调查了几个NAC解决方案,它似乎有没有可行的那些没有一个真正的代理。有些可能是容易腐烂。我需要一些例外,从乔尔的评论之前,我看不出“互操作性是给定的,”如果一个特定的NAC解决方案使用交换机作为执行点与专有协议(见几个小家伙的名字思科,北电网络和Juniper命名一些)。
Joel_Snyder:丹尼:我OK你想专注于终端安全为自己。正如我上面写的,不管它是什么,你需要解决的是你要解决的问题,如果你想专注于终端安全,简单地说,你要专注于你评估产品是什么。为要提前做好什么好主意将大量节省您的时间。而事实上,Juniper和Cisco为基于标准的RADIUS属性肯定会工作。所以,当我说:“互操作性是给定的,”我的意思是,这是一个给定的,因为我们在Interop证明了这一点。看到,http://www.opus1.com/nac我们的结果。(我没有提到北电,因为他们不玩了,所以我不知道,如果他们将标准内工作)
phrenoRichard:一些NAC产品提供行为政策执行。我可以获得身份、端点检查和行为策略执行,以阻止僵尸网络、DDoS攻击等找到进入网络的方法。还有什么其他技术能做到这一点呢?
Richard_Stiennon:好问题。这就是IPS / AV业正在走向。允许被感染的端点连接,但不要让它伤害我。过滤掉在边缘的攻击。你指的是一些“NAC解决方案”的能力是他们所谓的后准入控制。这是好的,但动作要丢弃数据包,而不是最终点连接。
夹头当前位置我们公司的一个问题就是担心供应商和承包商会在数以百计的局域网插孔中插入一个插孔,然后将恶意软件传播到网络上。你如何解决这个问题(经济实惠),当你有这么多的地点,你需要能够检查所有的交通?
Joel_Snyder查克:我通常所说的“来宾访问”是人们寻找到NAC的巨大动力之一。还要记住,通过我的定义,如果你只是想解决的来宾访问,那也没关系。
Richard_Stiennon做起来很简单。只需通过网络进行身份验证!
Joel_Snyder这里有两个子主题。一个是客人需要呆在里面,另一个是客人需要呆在外面。如果客人走到外面,那么你有很多简单的选择。一种是,您可以对合法用户进行认证,任何不正确认证或不在MAC OUI列表中的用户(比如VoIP电话、打印机)将被丢弃在防火墙之外或DSL一次性线路上。
如果客人从里面进去,那就更难了。这里您可能需要区分需要内部访问的来宾和承包商。但是,您可以通过简单地识别交换机并进行专属门户身份验证,在已有的交换机上安装一堆廉价的访问控制。你可以向思科付费购买CCA(思科清洁接入,但该产品现在被称为思科NAC Appliance)之类的产品,或者使用类似的开源解决方案,但只会妨碍客人。
lucas_burke理查德:网络和桌面之外,从信息安全的角度看 - 不NAC降低整体风险?
Richard_Stiennon:我认为NAC无助于降低整体风险。它不对抗恶意的(或愚蠢)的用户。它不会停止从骑黑客在通过身份验证的计算机上,它不违背零日蠕虫。这实际上不是所有的强认证解决方案,所以你还是要层英寸
Joel_Snyder:我可以从周六晚间直播在这里引用?简...
Richard_Stiennon:你无知SL * T?
Joel_Snyder我们就说“我不同意”吧。If you can gainsay assert that it doesn't lower risk, then I'll claim the opposite.
Richard_Stiennon:OK,乔尔你会怎么做,以防止最终用户从做对域控制器DDoS攻击?或嗅探线和窃取账户和进入Oracle数据库?
Joel_Snyder: “这取决于。”
Richard_Stiennon:将NAC是你的答案?
Joel_Snyder:一是域控制器应该用它自己的技术进行保护,包括使用一些反dos技术的防火墙。
Richard_StiennonSo you still need to layer security in?那么你还需要增加安全性吗?即使在NAC上花了一大笔钱?为什么不做安全工作,然后继续呢?
Joel_Snyder实际上,那个防火墙应该在十年前就安装了。
Richard_Stiennon:未在EDU事实并非如此。
Joel_Snyder:NAC不解决对直流拒绝服务的问题。
Richard_Stiennon:或者恶意用户做了任何事情,或者在网络上做了任何不正当的行为,比如注射病毒!
Joel_Snyder:恶意用户可能会三思而后行做的事情,如果他们知道,他们每次他们坐在在网络上的时间被验明正身。事实上,NAC有很大帮助与感染。
Richard_Stiennon嘿,不是我,你的NAC只是没有在我的机器上看到MSBlaster2009的副本。
Joel_Snyder由于NAC包括端点合规和端点行为的持续评估功能,NAC给我们提供了阻止行为不端的人的工具。
Richard_Stiennon宿主病毒对感染有很大帮助。我刚花了几百万。你是说我还需要别的东西来让host AV工作?这是怎么回事?
Joel_Snyder:无NAC我们没有这些工具,或者我们减少到使用专有产品来解决点问题。是的,你需要强制执行。这是在NAC的“交流”。
Richard_Stiennon:我已经有这些产品。为什么我需要微软无处不在强制执行呢?
Joel_Snyder:每NAC部署,我看了看,大家对我听说过,有一个惊喜的因素。
Richard_Stiennon:嗯?
Joel_Snyder:令人惊讶的是电脑如何UNcompliant与主机AV。谈话在世界上最微软精明的IT部门。他们会告诉你他们在他们的合规水平有多低都惊讶不已。它是如何努力得到它。
Richard_Stiennon:那么,为什么不防范与一些活跃的网络技术这些机器?
Mike88:这个问题是两个乔尔和理查德:我公司目前正在评估一个解决方案来控制用户的访问,并确保机器连接到我们的网络之前标准。我现在的反病毒软件厂商能够提供,将解决这些问题综合NAC功能。你认为结合防病毒和NAC是一个好的策略?
Joel_Snyder:Mike88:我认为,如果你喜欢EPC(端点合规性)为您的NAC解决方案的一部分,那么有它集成到NAC是简化部署的好方法。如果你的A / V厂商会给你NAC便宜或免费的,让他们落实它。
Richard_Stiennon:你必须回答几个问题。你有独立的网络和桌面部门?或者,他们同一个人。不要忘记Mike88,通过基于配置阻止访问,你将不得不吨的新的支持电话。由于乔尔指出,大多数机器都*不*兼容。它是值得的痛苦吗?
Joel_Snyder: NAC并不意味着阻塞。你可以做报告,就像一些公司做的那样。
Richard_Stiennon:这意味着隔离和修复没有?否则我们在这里干什么?
Joel_Snyder这是明智的第一步。这取决于你能在脑海中想象出多大的画面。身份验证、隔离等不一定都是自动化的。对一些企业来说,门口那个拿着警棍的矮胖男人就是“认证”。NAC is a solution, not a product. Get that tattooed on your head. NAC is a technology. Put that on the other cheek.
Richard_Stiennon:NAC是一个问题,而不是解决方案。
XYZ访问控制的一部分是身份验证和成功授权后的资源分配。在没有大规模ACL管理的情况下,我们如何从网络级别实现这一点?
Richard_Stiennon:问得好XYZ。你需要集中IAM(识别和访问管理);吨那里伟大的解决方案。Gartner公司的整体会议上IAM到来。我就从NAC回避了。
Joel_Snyder我也要跳到这里来。Sean Convery刚刚写了一篇关于NAC的论文。(他不想叫它NAC,他叫它认证网络架构——ANA)。无论如何,他的观点是,你不需要有超级细粒度的acl来大幅降低风险。
Richard_Stiennon:*我*点是,你需要去细粒度的访问控制,以确保您的企业。
Joel_Snyder:细粒度是一个频谱。你不是谁只是倡导的VLAN的家伙?我说,如果你有粗略的控制,甚至还要通过/不通过,这是在风险降低。
Richard_Stiennon: 我们同意。
Joel_Snyder你需要像克里斯·霍夫或皮特·林德斯特伦这样的人来计算出边际花费在哪里是值得的,因为边际减少了风险。NAC可以容纳所有这些,甚至是同时。
Richard_Stiennon:我只是讨厌那些“不走” NAC意味着你正在拉开序幕网络。
Joel_Snyder在无线网络中,我们每时每刻都在做“no-go”。这是南汽。使用802.1X认证(隐藏在WPA中)。如果你不这样做,就没有网络。
Richard_Stiennon: NAC定义气泡在这里膨胀。
Joel_Snyder: AC = auth + EPC + NBAD。相同的定义。但0%的EPC。一切都是一致的。
Richard_Stiennon这其中的政策在哪里?这是访问控制最关键的功能。政策的政策,政策。
丹尼Richard:你之前对用户访问控制和终端访问控制做了一个有趣的评论。你能详细说明一下吗?具体来说,基于用户的访问控制将如何帮助防止受感染的机器在网络上?特别是考虑到移动“用户”谁可以登录从各种端点在局域网内外?
Richard_Stiennon事实上,我不在乎被感染的机器。如果用户进行了身份验证,那么您需要关心他们属于哪个组以及授予他们什么特权。他们的机器是另一个问题。把不好的东西过滤掉。
丹尼乔尔:如何好,你会看到移动设备操作系统,苹果,被容纳在NAC技术的Linux呢?
Joel_Snyder:丹尼:“不好。”让我解释。显然,主要关注的是主要部署问题,这是Windows系统。所以很自然的,他们正在处理,比什么都好。此外,由于EPC是不继富的NAC的战略0%的人,人们更关心的是EPC和EPS一般与Windows比他们用的Treo和黑莓的(不,这是正确的,但我们只能打最后一战, 对?)。
所以我希望能更好地支持非windows设备(这才是真正的问题),随着需求的增加,它将会到来。从纯身份验证的角度来看,它们已经得到了很好的支持。
Richard_Stiennon:这是我的问题,NAC:
1.它根本不是一个安全解决方案。没有任何单一方面的NAC产品,以保护网络免受恶意用户。
2.这不是一个零日防护。在接下来的爆发NAC将无助于保护网络。
3.它引入技术,其目的是阻止访问所述网络的一个新层。网络管理员耗费了大量的工作周,让人们在网络上。引进的东西,让他们断网是没有吸引力。
4.绕过NAC几乎是微不足道的。你所需要做的就是破坏本地代理。
5.违反斯蒂农的网络安全的第一定律:你永远不会信任的端点上报自身的状态。
Moderator-Julie:我们是出来的时候了。我们有几个更多的问题,我们将在自己的博客上转发乔尔和理查德的答案。
Joel_Snyder我是反博客的。没有,抱歉:-)但我有电子邮件……你可以在谷歌中输入“Joel Snyder”并点击“I’m feeling lucky”来找到它。
Moderator-Julie本次谈话的文字记录将在24小时内提供m.amiribrahem.com在m.amiribrahem.com/chat/的存档部分以及在Microsoft子网(www.microsoftsubnet.com)和Cisco子网(www.ciscosubnet.com)。也请加入我们即将到来的聊天。都是在美国东部时间下午2 - 3点//m.amiribrahem.com/chat/
7月30日星期三——与吉姆·麦茨勒一起实施WAN加速
8月19日星期二——Facebook:朋友还是敌人?与Curt莫纳什
Richard_Stiennon再见,谢谢您的收看。
Joel_Snyder: 再见。保证它的安全。或者其他的东西。
还看到这些最近的聊天记录
犯罪软件:了解新的攻击和防御,与作者马库斯·雅各布森和佐勒菲卡尔拉姆赞
LAN交换机的安全性:什么黑客知道你的交换机与克里斯托弗Paggen