有个足球雷竞技app网络世界最近举办了第一次聊天的对峙与谁持有的价值对立观点的两个安全专家网络访问控制。在亲NAC侧约珥·斯奈德(如图,顶部)和在CON侧,理查德斯蒂农。乔尔是一名高级合伙人作品一号在亚利桑那州图森的一家咨询公司,和网络世界实验室联盟的成员。有个足球雷竞技app自1981年以来他已经在网络和信息安全工作,并写下了几本书。斯蒂农是一名安全顾问,流行的扬声器和创始人Seccom全球,有管理的安全服务提供商专注于统一威胁管理。他写的斯蒂农保安博客的网络世界。有个足球雷竞技app以下是该事件的一个完整的,编辑的记录。
主持人 - 朱莉:我们已经准备好开始。欢迎来到我们的客人。
Richard_Stiennon: 你好!
Joel_Snyder:你好大家好!
主持人 - 朱莉:在我们开始对NAC的优点/缺点你的意见,让我们定义的技术。乔尔,什么是你的NAC的定义是什么?(理查德,乔尔的答复后,我们会要求你回答这个问题。)
Joel_Snyder:什么是我的NAC的定义是什么?......好吧,给我秒。
Richard_Stiennon: 时间到。
Joel_Snyder:NAC是用户为中心的,基于网络的,访问控制。NAC改变了我们如何做访问控制。这是NAC中的AC。而且它的网络访问控制。这就是“N”。随着NAC,你被允许这样做=你是谁+您的端点安全状态+如何你的行为。这“等号”不是一个静态的要么;它的F(),连续计算功能。这不是离散数学课;这是微积分。 Thus, What You Are Allowed To Do (ACCESS CONTROL) is continuously evaluated based on things that change, largely How You Behave.
简单来说,AC =验证[验证] + EPC [端点控制] + NBAD [网络行为异常检测。任何人谁做NAC有权决定这三个组成部分是非常重要的,以及如何重要。因此,你可以有NAC解决方案,这是100%的EPC和0%验证和0%NBAD。你可以有一些是100%验证和0%EPC和0%NBAD。你甚至可以有一些,其中AC = 0%,因为所有他们做的是得到一个报告。
如果你看一下思科公司的原装产品,和微软的最初的产品,他们都是关于EPC。有0%的认证,0%的NBAD,甚至(在微软的例子中)0%的AC。每个人都被允许挑选任何能解决任何问题的产品。这些人是早期的采用者,并且解决了一个老问题:在公司网络上的坏juju。他们继续前行。如果他们没有,这也不会是一个问题。我们有多个供应商,不是为了让每个人都能竞争同样的钱,而是为了让不同的解决方案能够存在。产品不可替代。问题是不一样的。这一切都很好。NAC是一种技术。 Not a product. That's my definition. .
主持人 - 朱莉:理查德,你是什么NAC的定义是什么?
Richard_Stiennon:啧。我知道NAC是复杂的,但我认为它会更容易界定。像:NAC是对类固醇的访问控制。它增加了机器状态,如配置,病毒签名等访问控制方程。这一概念是由思科于2003年推出的一种解决方案,通过创建的MSBlaster问题:网络越来越被带入工作的笔记本电脑被感染。像类固醇其他事情NAC容易出现心脏衰竭,内部出血,并发症多,只是普通的丑亮相。
主持人 - 朱莉好,第二个问题,乔尔,你认为NAC的价值是什么?(理查德,乔尔的答复后,我们会要求你回答这个问题。)
Joel_Snyder听着,NAC很重要的一个关键原因是:它改变了我们的关注点。多年来,我们一直在关注周边地区。然后我们开始往里面看。但我们一直关注的是IP地址:在防火墙上戳个洞,让IP A到达c端口上的IP B。即使人们有机会做细粒度的VPN,但没有人做,因为产品使它成为一个噩梦。让我们来看看这里的历史。
然后,SSL VPN来到身边,需要一个钩,并抓住了钩“每个用户的策略。”所有这一切泄密有关防火墙的政策是没有工具不行,突然SSL VPN的家伙了吧。我们可以把人分成组,并专注于用户,为我们的安全策略 - 这是上帝希望。没有IP地址,而是人。[注:参见VPN的:六燃烧问题]
NAC正在采取这种USER-FOCUS,并把它纳入网络世界。它是做用户为中心的基于网络的访问控制的工具。这是NAC是什么,以及为什么它如此令人兴奋。而且,当然,“用户”,实际上是“用户人”和“他们正在使用的设备,”自从到网络家伙像我这样的用户和笔记本电脑/台式机是同一个实体的总和。NAC让我们采取的安全,我们以前无法做到这一点。这就是为什么NAC是有价值的。
主持人 - 朱莉:理查,你认为什么是NAC的价值,你会响应乔尔的回答这个问题说什么?
Richard_Stiennon:EWWW,保持上,而我清楚我的口味。我的家伙是一个网络太多,但我不想去的地方我以前没有去过。我同意NAC焦点更改。它从安全和网络以及对基础设施和桌面改变它拿走。在一个有损于整体安全性。
主持人 - 朱莉:乔尔,你有反驳理查德的回应?
Joel_Snyder你必须向我解释损害的部分,因为我不明白。(他把门打开……)
Richard_Stiennon:OK,看看这种方式。我们是在越来越大的威胁的时代。我们有中国黑客在我们的网络,有业内人士窃取ID和信用卡,机器人和DDoS威胁。而对于在这一切的剧烈变革的某种原因,厂商如思科,微软等希望我们停止一切与实现其特定品牌的机器和网络之间的结合。NAC是不是在所有安全解决方案。
Joel_Snyder:你制作的零和游戏的说法吗?如果我们把时间花在NAC,那么我们不会花时间在中国黑客?因为我不认为这NAC是不是安全的说法是真的站得住脚,诚实。
Richard_Stiennon:你打赌。大多数我认识的CIO们,不仅没有多余的预算,今年,但被要求减少他们的支出。
Joel_Snyder:访问控制是我们的安全做了根本的东西之一。
Richard_Stiennon:我们更好地进入我们的定义;我有没有问题,用户访问控制。我有与端点访问控制的问题手。
Joel_Snyder:你暗示NAC是净成本。我认为,它可以是一个净储蓄。
Richard_Stiennon:我认为NAC是净成本*和*的东西,减少网络对企业的价值。
Joel_Snyder:嗯,我不想进入这个“同意不同意”废话,但是......不,不,不,不。:-)
主持人 - 朱莉:理查德,如果NAC是不是答案,答案是什么,以执行端点安全和其他政策?(乔尔,理查德的答复后,我们会要求你回答这个问题。)
Richard_Stiennon:哦,所以我们在* *在谈论终点执法?
Joel_Snyder:嗯,朱莉。
Richard_Stiennon:我认为赛门铁克,微软,BigFix的解决了这一点。我是一个网络的家伙。我不端点处理,只是我必须使用一个。这对于帮助台的家伙。
Joel_Snyder:通过MBlaster存在的定义,赛门铁克,微软,以及BigFix可以没有固定它。
Richard_Stiennon:那么终点的执法,我建议交谈补丁管理公司。的MSBlaster基本上是一个零日[开拓]对于大多数企业。如果他们有NAC全面部署,他们仍然会得到命中。
Joel_Snyder:当然,补丁管理等公司BigFix的,Lumension(老PATCHLINK),它们是一些NAC部署的重要组成部分。那些需要端点安全。并非所有的NAC部署要求端点安全。(见上面的定义...)
Richard_Stiennon:所以,我们要做NAC需要多个供应商的产品协同工作?
Joel_Snyder:做网络,就需要多个供应商的产品协同工作。此外,NAC不是一个产品。这是一个技术,如动态路由。
Richard_Stiennon:对于网络,你让他们工作中使用一个很好理解的协议,如TCP / IP一起。什么是NAC标准这些厂商跟进,以确保他们一起工作?
Joel_Snyder:NAC标准是一个单独的问题,真正完全垂直于NAC是否是有用的。我同意我们需要更好的标准,我们需要更好的符合标准。
Richard_Stiennon:所以,你必须在不需要互操作性,像所有的思科解决方案的情况下?
Joel_Snyder:在号在Interop的贸易博览会上iLabs,我们一起度过了十几个供应商,所有的演奏。你没有得到,我认为,南汽的观点和技术的一个点。这不是一个产品。我可以放在一起 - 并有 - 一个NAC解决方案,包括多厂商互操作性。
Richard_Stiennon:我同意,它正在变成一种宗教,这让我一个无神论者。
Joel_Snyder:每一个NAC解决方案具有互操作性。企业75%的思科。所以NAC必须与工作。而企业的99.99%有Windows。所以NAC必须与工作。是它有没有用:但是互操作性,再次,从主要的问题,这是我们转向?
Richard_Stiennon:那么NAC是一种强制思科微软的双寡头垄断?你的问题的前提是NAC是值得的。
Joel_Snyder:看,互操作性是一个给定的。它已经证明,没有思科的帮助。让我们到技术的有用之举,而不是TCG / TNC是否有他们的共同行动。
Richard_Stiennon:那么,什么是NAC的用处。这不是威胁防护效果显着。
Joel_Snyder没有什么是显而易见的。NAC是我定义的以用户为中心的。基于网络的。访问控制。它很有用,因为我们从来没有这样做过。
Richard_Stiennon那么我们为什么需要终点呢?用户访问控制从第一天就出现了。
Joel_Snyder:没有,用户访问控制也没有。是的,当然我们有认证。看看有多少人在局域网中的802.1X。不太多。为什么?好了,客户吸。这得到了修复。人们害怕,因为分析公司告诉他们要。而且,最重要的是,我们不得不去管理它没有真正的工具。
Richard_Stiennon:我是14年前配置RADIUS。这是需要和作品。
Joel_Snyder:RADIUS并不意味着我们知道谁在墙上有一个洞的另一端。
Richard_Stiennon:那么NAC是问题的答案与部署访问控制?
Joel_Snyder:认证本身很有趣,但没有足够有趣,使承担802.1X值得的痛苦。大家都知道,新技术具有痛苦和效益/乐趣。如果疼痛比好处要大,那么就不会被吸收。就这么简单。NAC让我们汇聚了一群不同零件(802.1X,以用户为中心的政策,端点安全,IDS / NBAD)和整合他们。这就是失踪了。这就是今天的可用。这就是我们要去的地方。这就是为什么NAC是有趣的。这就是为什么人们都很兴奋。
Richard_Stiennon:让我们来谈谈NAC的痛苦。
Joel_Snyder你为什么总是回避它是否有用的问题?疼痛。互操作性。我们只谈一个话题。
Richard_Stiennon:我知道你是热的微软NAP,乔尔,所以我花了一些时间来看待它。我吓坏了。看看这些成分!2008年的服务器上SP3及以上的机器上运行系统健康验证,系统健康代理,为IPSec需要一个额外的健康注册机构想必另一Win08的机器上(与您的CA?)和IPsec的每个桌面上依赖方EC和服务器。(我甚至不知道这些是什么,但有无线和有线接入独立的人。)
因此,建立IPSec连接时,有一个服务器发出卫生证书(X.509)?那是前或1期后?阶段2?是证书每次会议结束后撤销?如果SHA决定终结点不再符合该怎么办?它推倒IPSec隧道?是证书吊销?如何做所有这些事情互相交谈?哪些协议/端口他们使用?我不希望无需支付咨询公司数百万美元部署这样的事情。 Scary stuff. .
Joel_Snyder例如我不知道如何回答这个问题。你可以这样说:“我觉得你还没准备好睡觉?”No one is particularly interested in NAP in IKE v1. What NAP makes interesting is the ability to have a STANDARD architecture for how end-point compliance will interact with the network and the PDP.
Richard_Stiennon:那么你如何检查某人的机器状态时,他们是VPNing ?
Joel_Snyder:在SSL VPN的家伙不得不为五年一个大战略。
Richard_Stiennon:你刚才说的标准是不NAC的价值讨论的一部分。
Joel_Snyder:你是谁带来了NAP的一个。我还在努力让我们有用的话题。你看,这是一个技术。许多企业使用它,但他们如何使用它,并在那里,他们用它取决于什么样的问题,他们希望解决的问题。在我看来,你的NAC的目标是像你在未来和说,动态路由是没有好,因为RIP没有规模。那么,你就错了在两方面:对某些人谁不需要规模,RIP是好的。而RIP是不是动态路由,就像问终点,如果他们感染的是不是NAC。
Richard_Stiennon:OK,让我们某些情况下,讨论实用性。
Joel_Snyder: 好。蓝岭家伙给我发的有11昨天列表:-)
Richard_Stiennon:请提一句,是不是EDU或MIL。
Joel_Snyder:什么是与EDU和MIL问题?
Richard_Stiennon解决教育和军事需求的产品不是企业的市场制造。这是利基。
Joel_Snyder:这是一个frickin'巨大的利基。但是,好吧,让我们下车即到。
Richard_Stiennon:对于那些地址它烨。
Joel_Snyder:OK,所以这里有一个简单的例子,它提供IT服务,以小分组织一帮组织。
Richard_Stiennon:一个MSSP [托管安全服务提供商]
Joel_Snyder不 - 让我们说这是在美国的大国之一,它是一个半外包的IT部门。每个子部门,如参议院,众议院等,是一个交战派系。事实上,每个参议员是在相互战争。在这种特殊情况下,我们解决的问题是,每名参议员/代表/职员需要的是无论身在何处,他们在首都“的局域网上”。
Richard_Stiennon:对网络分段很大的应用。在IP层网络虚拟域内的VLAN。
Joel_Snyder:没有,VLAN不能正常工作。在这种情况下,没有规模。但是VLAN的会工作,如果不是数百人。在任何情况下,这并不重要。什么是关键的是,网络用户放心,他们没有被连接到网络上的错误部分。NAC帮助。我们让他们身份验证,即指定一个组,该组隐含的ACL。
Richard_Stiennon: 不好了!不是的ACL!你是吓到我了。你用什么来执行,管理,登录这些ACL?
Joel_Snyder:你看,你要不断的话题或不?我们在这里谈论的用处。不是产品,他们购买,使其工作。
Richard_Stiennon:这是有用的,但应与网络,不与主机代理和一个单独的服务器来解决。它多少钱???
Joel_Snyder有必要。需求得到了满足。我们使用了NAC技术。在本例中,没有主机代理。原来,令人惊讶的是,这些人使用Windows,而微软似乎已经提供了他们需要的东西。我不知道总成本。记住,这是一个州立法机关。用黑鹰直升机和私人飞机隐藏在预算中。但我可以这么说。花钱不需要权威,因为钱并不多。
Richard_Stiennon:那么,你说这是很好的利用技术现有部署来实现自己的目标是什么?
主持人 - 朱莉:我们拥有一批在与会者的队列中的问题,所以我们要继续前进,以回答尽可能多的,因为我们可以在剩余的时间。
lucas_burke:在高等教育的用户可以经常补充,他们希望网络的任何设备。您不具有企业级控制的奢侈品。对我来说,NAC解决了很多问题,在一次 - 样,跟踪我的网络上被盗的设备,执行病毒的标准,关停非法无线AP等理查德:是有一个更好的办法做到这一点比NAC?我很乐意听到它。
Richard_Stiennon:我在高等教育与放任网络管理员一个巨大的问题。任何协议,任何操作是允许的。通过部署NAC可以拥有绝对的控制权有人用错误配置的笔记本电脑/服务器,但你拒绝投入从黑客阻止他们所需的控制!或以其他方式滥用您的系统。在大多数大学健康系统已经转移到了安全的环境。该组织的其余部分应该看看这一点。
丹尼:我认为,我们必须着眼于“端点安全”为NAC的主要传统目标。允许清洁访问网络。我已经调查了几个NAC解决方案,它似乎有没有可行的那些没有一个真正的代理。有些可能是容易腐烂。我需要一些例外,从乔尔的评论之前,我看不出“互操作性是给定的,”如果一个特定的NAC解决方案使用交换机作为执行点与专有协议(见几个小家伙的名字思科,北电网络和Juniper命名一些)。
Joel_Snyder丹尼:你想自己关注终端安全,我觉得没问题。正如我在上面所写的,您需要解决的问题都是您要解决的问题,如果您想关注终端安全性,那么这只是说明您在评估产品时需要关注的内容。提前对自己想做的事情有个好主意将会极大地节省你的时间。实际上,Juniper和Cisco肯定可以使用基于标准的半径属性。所以当我说“互操作性是给定的”时,我的意思是它是给定的,因为我们在Interop证明了它。看到的,http://www.opus1.com/nac我们的结果。(我没有提到北电,因为他们不玩了,所以我不知道,如果他们将标准内工作)
phreno理查德:一些NAC产品报价的行为策略执行。我能得到身份,端点检查,和行为策略执行的是停止僵尸网络,DDoS攻击等那些找到一种方式到网络上。还有什么其他的技术提供的?
Richard_Stiennon:好问题。这就是IPS/AV产业的发展方向。允许被感染的端点连接,但不要让它伤害我。过滤掉边缘的攻击。你在一些“NAC解决方案”中提到的能力就是他们所说的入院后控制。这很好,但是操作应该是丢弃数据包,而不是丢弃端点连接。
夹头:其中一个在我公司的问题是担心供应商和承包商会插入一些LAN插孔数以百计的地方和传播恶意软件到网络中的一个。你怎么解决这个问题(实惠),当你有这么多的地方,你需要能够检查所有的流量?
Joel_Snyder查克:我通常所说的“来宾访问”是人们寻找到NAC的巨大动力之一。还要记住,通过我的定义,如果你只是想解决的来宾访问,那也没关系。
Richard_Stiennon:简单做。针对网络身份验证刚!
Joel_Snyder:这里有两个子主题。其中之一是,客人需要在里面,另一个是,客人需要到外面。如果客人在外面去的话,你有很多的方便选择。其中之一是,你可以权威性了合法用户,谁不正确的认证或不是MAC OUI名单(认为VoIP电话,打印机)获取防火墙之外或在DSL一次性倾倒线。
如果客人在里面去,那么它很难。您可能希望客人和需要内部访问承包商之间进行区别在这里。但你可以把一堆廉价的访问控制上的开关,你已经通过简单地认识他们,做一个强制网络门户认证有。您可以支付思科钱像CCA [思科清洁接入,但现在的产品被称为思科NAC设备],或者去开源与类似的解决方案,只有在客人的方式获得。
lucas_burke理查德:网络和桌面之外,从信息安全的角度看 - 不NAC降低整体风险?
Richard_Stiennon:我认为NAC无助于降低整体风险。它不对抗恶意的(或愚蠢)的用户。它不会停止从骑黑客在通过身份验证的计算机上,它不违背零日蠕虫。这实际上不是所有的强认证解决方案,所以你还是要层英寸
Joel_Snyder:我可以从周六晚间直播在这里引用?简...
Richard_Stiennon你这个无知的家伙?
Joel_Snyder:我们只是说,“我不同意。”如果你能反驳断言,它不降低风险,那么我会要求相反。
Richard_Stiennon乔尔,你会怎么做来防止终端用户对域控制器做DDoS操作?或者嗅探网络,窃取账户,进入Oracle数据库?
Joel_Snyder: “这取决于。”
Richard_Stiennon:将NAC是你的答案?
Joel_Snyder:其一是,域控制器应凭借自身的技术进行保护,包括一些抗拒绝服务技术的防火墙。
Richard_Stiennon:所以你还是需要层安全?即使在这个NAC东西花费大笔资金后?为什么不这样做的安全性和感动吗?
Joel_Snyder:其实,那防火墙应该已经安装在大约10年前。
Richard_Stiennon:未在EDU事实并非如此。
Joel_Snyder:NAC不解决对直流拒绝服务的问题。
Richard_Stiennon:或者恶意用户做任何事情,或如注射感染网络上的任何不必要的行动!
Joel_Snyder:恶意用户可能会三思而后行做的事情,如果他们知道,他们每次他们坐在在网络上的时间被验明正身。事实上,NAC有很大帮助与感染。
Richard_Stiennon:嘿,那不是我的,你的NAC只是没有看到我的机器上MSBlaster2009的副本。
Joel_Snyder:因为NAC包括端点合规和终点行为不断进行评估功能,NAC为我们提供了工具敲断的人谁是行为不端。
Richard_Stiennon:主机AV帮助了很多与感染。我只花了几百万就可以了。你的意思是我需要别的东西,使主机AV工作?那是怎么回事?
Joel_Snyder如果没有NAC,我们就没有这些工具,或者我们只能使用专有产品来解决点问题。是的,你需要强制执行。这是NAC中的AC。
Richard_Stiennon:我已经有这些产品。为什么我需要微软无处不在强制执行呢?
Joel_Snyder:每NAC部署,我看了看,大家对我听说过,有一个惊喜的因素。
Richard_Stiennon:嗯?
Joel_Snyder:令人惊讶的是电脑如何UNcompliant与主机AV。谈话在世界上最微软精明的IT部门。他们会告诉你他们在他们的合规水平有多低都惊讶不已。它是如何努力得到它。
Richard_Stiennon:那么,为什么不防范与一些活跃的网络技术这些机器?
Mike88:这个问题是两个乔尔和理查德:我公司目前正在评估一个解决方案来控制用户的访问,并确保机器连接到我们的网络之前标准。我现在的反病毒软件厂商能够提供,将解决这些问题综合NAC功能。你认为结合防病毒和NAC是一个好的策略?
Joel_Snyder:Mike88:我认为,如果你喜欢EPC(端点合规性)为您的NAC解决方案的一部分,那么有它集成到NAC是简化部署的好方法。如果你的A / V厂商会给你NAC便宜或免费的,让他们落实它。
Richard_Stiennon:你必须回答几个问题。你有独立的网络和桌面部门?或者,他们同一个人。不要忘记Mike88,通过基于配置阻止访问,你将不得不吨的新的支持电话。由于乔尔指出,大多数机器都*不*兼容。它是值得的痛苦吗?
Joel_Snyder:NAC并不意味着阻塞。你可以做的报告,一些企业已经完成。
Richard_Stiennon:这意味着隔离和固定不?否则,你到底我们在这里做?
Joel_Snyder:这是一个明智的第一步。这取决于你如何大画面的把你的头。认证,检疫等,不一定都是自动化的。对于一些企业来说,与在门口警棍矮胖的家伙是“身份验证”。NAC是一个解决方案,而不是产品。获取纹身在你的头上。NAC是一种技术。把那其他的脸颊。
Richard_Stiennon:NAC是一个问题,而不是解决方案。
xyz:理查德 - 访问控制的部分原因是资源分配后的身份验证和授权成功。我们如何从没有大规模的ACL管理网络层面实现这一目标?
Richard_Stiennon:问得好XYZ。你需要集中IAM(识别和访问管理);吨那里伟大的解决方案。Gartner公司的整体会议上IAM到来。我就从NAC回避了。
Joel_Snyder:在这里我要跳了。肖恩Convery刚刚写了一篇关于NAC的论文。(他不希望把它NAC,他称之为认证的网络架构 - ANA)。不管怎样,他使的一点是,你不需要有超细粒度访问控制列表,以取得风险大幅缩减。
Richard_Stiennon:*我*点是,你需要去细粒度的访问控制,以确保您的企业。
Joel_Snyder:细粒度是一个频谱。你不是谁只是倡导的VLAN的家伙?我说,如果你有粗略的控制,甚至还要通过/不通过,这是在风险降低。
Richard_Stiennon: 我们同意。
Joel_Snyder:你必须使用你这样的人克里斯·霍夫或皮特Lindstrom的揣摩出边际美元的花费是值得的风险略有减少。和NAC可以容纳所有这些,甚至同时进行。
Richard_Stiennon:我只是讨厌那些“不走” NAC意味着你正在拉开序幕网络。
Joel_Snyder:我们“不走”所有的时间在无线。这是NAC。认证与802.1X(隐藏在WPA)。如果不这样做,没有网络。
Richard_Stiennon:将NAC定义泡沫正在这里展开。
Joel_Snyder:AC = AUTH + EPC + NBAD。相同的定义。但是,0%EPC。一切都是一致的。
Richard_Stiennon:哪里是在政策????这是访问控制最关键的功能。政策方针,政策。
丹尼理查德:有你刚才做了一个有趣的评论,用户访问控制与端点接入控制。你能否解释一下?具体如何将基于用户的访问控制有助于防止感染的计算机被网络上的?尤其是考虑到移动“用户”谁可以登录从进出LAN的各个端点?
Richard_Stiennon:其实我不在乎被感染的计算机。如果你关心他们是在什么组,以及权限授予他们用户进行身份验证。他们的机器是另一个问题。只是过滤掉不好的东西。
丹尼乔尔:如何好,你会看到移动设备操作系统,苹果,被容纳在NAC技术的Linux呢?
Joel_Snyder丹尼:“不太好。”Let me elaborate. Obviously, the main concern is the main deployment issue, which is Windows systems. So naturally, they are being handled better than anything else. Also, since EPC is not 0% for anyone following Rich's strategy of NAC, people are more concerned about EPC and EPS in general with Windows than they are with Treos and BlackBerry's (not that this is correct, but we can only fight the last war, right?).
所以我有更好的支持非Windows设备的(这是真正的问题),希望和有需求的,它会来的。在纯粹的认证某种意义上说,他们已经很好的支持。
Richard_Stiennon以下是我关于NAC的问题:
1.它是不是在所有安全解决方案。这里没有任何NAC产品,可以保护来自恶意用户的网络的一个方面。
2.这不是零日保护。在下一次爆发时,NAC不会采取任何措施来保护网络。
3.它引入技术,其目的是阻止访问所述网络的一个新层。网络管理员耗费了大量的工作周,让人们在网络上。引进的东西,让他们断网是没有吸引力。
4.这几乎是微不足道的旁路NAC。所有你需要做的是腐败的当地代理商。
5.违反斯蒂农的网络安全的第一定律:你永远不会信任的端点上报自身的状态。
主持人 - 朱莉:我们是出来的时候了。我们有几个更多的问题,我们将在自己的博客上转发乔尔和理查德的答案。
Joel_Snyder:我是反博客。没有一个,抱歉。不过我确实有电子邮件......您可以通过键入“乔尔·斯奈德”,然后点击查找“手气不错”到谷歌。
主持人 - 朱莉:此聊天的成绩单将在24小时内获得m.amiribrahem.com而且在m.amiribrahem.com/chat/的归档部分和微软子网(www.microsoftsubnet.com)和Cisco子网(www.ciscosubnet.com)。也请参加我们即将推出的聊天记录。都是在2 - 3时在ET//m.amiribrahem.com/chat/
周三,7月30日 - 实现广域网加速与吉姆·梅茨勒
周二,八月19-- Facebook的:朋友还是敌人?随着科特莫纳什
Richard_Stiennon再见一切,非常感谢你。
Joel_Snyder: 再见。保证它的安全。或者其他的东西。
也可以查看这些最近的聊天记录
犯罪软件:了解新的攻击和防御,与作者马库斯·雅各布森和佐勒菲卡尔拉姆赞
LAN交换机的安全性:什么黑客知道你的交换机与克里斯托弗Paggen